﻿ STRUCTURI ELECTRONICE DE ÎNALTA FIABILITATE Toleranfa la defectări https://neculaifantanaru com/ochiul-nu-se-multumeste-cu-mintea-celui-care-vede html Creșterea continua a complexității sistemelor tehnice actuale ™Ч^ іап ег fisiunilor pe care acestea trebuie să le îndeplinească impune implementarea unor metode eficiente de minimizare a riscului eventualelor defectări în acest context, apariția unei lucrări dc anvergura consacrate implementării toleranței la defectări ~ pnncipau n€top ce poaic fi utilizată pentru crește-, rea fiabilității sistemelor — este binevenită fmportanța și actualitatea aspectelor abordate sînt evidențiat# și clc rezultatele* unor studii de prognoză, care au stabilit că sistemele de mare răspundere funcțională ale anilor ' vor avea inclusă toleranța la defectări drept una dintre caracteristicile lor principale di /(,ță reprezintă o contribuție dc valoare ă cerce tării științifice românești la studiul aspectelor teoretice și practice ale realizării sistemelor de înaltă fiabilitate Ea ocupă un loc privilegiat în literatura tehnica de specialitate- românească și străină atît prin noutatea problematicii abordate, cîl și prin echilibrul pe care reușește să-l păstreze intre rigoarea teoretică și aplicabilitatea practică Un merit deosebit al volumului îl constituie abordarea complexă a modalităților de realizare a sistemelor de înaltă fiabilitate Se remarcă analiza critică aprofundata a diferitelor metode de elaborare a sistemelor cu o anumită inteligență, aceea de a recunoaște și masca itnelc erori și de a-și realiza funcțiile de ieșire în mod corect Se au în vedere nu numai aspectele tehnice cile metodelor de implementare a toleranței la defectări și influența acestora asupra performanțelor sistemelor, ci și implicațiile lor economice și sociale O atenție specială este acordată prezentării metodelor de realizare a toleranței la erori cu mijloace software, precum și a soft-ware-ului fiabil, cum sînt programarea îi-versională sau programarea El-aulotest abilă Un important merit al lucrării îl constituie dezvoltarea unor analize cantitative aprofundate referitoare la performanțele acestor sisteme, introdueîndu-se în acest scop indicatori de fiabilitate specifici De asemenea, atrag atenția studiile care privesc optimizarea diferitelor structuri tolerante la defectări Soluționarea eficientă a acestor analize este realizată 'prin utilizarea adecvată a unor metodologii bazate pe teoria probabilităților, algebra booleana, teoria grefelor, procesele markoviene etc Materialul expus în volum arc la bază analiza critică a unei ample informații în domeniul abordat, în acest context contribuțiile originale ale autorilor — reliefate în mod gradat — avînd o pondere importantă Unitatea lucrării este asigurată de abordarea tematicii prin prisma parcurgerii etapelor realizării toleranței la defectări: identificarea automată a erorilor, mascarea lor, autoreconfigurarea sistemelor, realizarea unui software tolerant la erori și totodată evaluarea performanțelor sistemelor obținute După opinia noastră este pentru prima oară cînd se abordează în mod aprofundat și unitar aspectele legate de corelația dintre fiabilitate și implementarea toleranței la defectări Lucrarea Structuri electronice de înaltă fiabilitate Toleranța la defectări constituie rodul unei îndelungate și rodnice activități didactice si științifice a autorilor, cunoscuți specialiști în domeniul fiabilității Ea este caracterizată prin profunzimea studiilor, conduse pînă la nivelul finalizării practice-: de aceea reușește să fie nu numai o carte de elevată ținută științifică, ci și o Uter arc utilă celor interesați de soluții aplicative concrete Volumul de față reprezintă un răspuns concret al cercetării tiințifice desfășurate în cadrul învățămîntuhii tehnic superior, la sarcinile puse în fața sa de către secretarul general al Partidului Comunist Român, tovarășul Nicolae Ceaușescu, în vederea realizării de sisteme cu performanțe tehnice și calitative superioare: „trebuie să împletim ferm cercetarea cu învățămîntul, cu producția, să legăm mai strîns întreaga cercetare dc cerințele practice ale producției, de soluționarea problemelor care apar zi de zi în activitatea complexă pentru realizarea de produse mai bune, cu un nivel calitativ și tehnic tot mai ridicat" ■ Competența autorilor și conținutul lucrării ne îndreptățesc convingerea că ea va deveni un instrument de lucru util specialiștilor din cercetare, proiectare și producție în vederea realizării unor sisteme cu risc minim al defectărilor Prof dr docent MIHAI DRAgANESCU Membru corespondent al Academiei Republicii Socialiste România i NICOLAE CEAUȘESCU, Expunere la ședința comună a Plenarei Corni-Central al Partidului Comunist Român, a organismelor democratice și organizațiilor masă și obștești, noiembrie , Editura Politică, Bucu-rești, " , p- CUV NT ÎNAINTE Ridicarea continuă a nivelului tehnic și calitativ al produselor constituie -pentru țara noastră o cerință fundamentală, pusă în fața întregii activități industriale în acest sens, tovarășul Nicolae Ceaușescu, secretar general al Partidului Comunist Român, președintele Republicii Socialiste România, sublinia: „Trebuie să realizăm o asemenea dezvoltare a producției industriale incit nivelul ei tehnic și calitativ să fie competitiv și comparabil cu cele mai bune produse similare pe plan mondial" Direcția strategică vizînd asigurarea unei înalte fiabilități a produselor românești este vitală pentru sistemele de mare răspundere f uncțională — sttfcme de calcul, aeronautice, de energetică nucleară, militare, de dirijare a traficului —-fiind deosebit de importantă pentru celelalte categorii de produse în vederea realizării unei competitivități sporite pe piața externă O direcție principală urmată pe plan mondial pentru asigurarea unei fiabilități ridicate în cazul sistemelor de mare răspundere funcțională — ш special al celor informatice — constă în introducerea toleranței la defectări ca atribut arhitectural al acestora, prognozîndu-sc, de altfel, că toleranța la defectări va constitui la începutul deceniului viitor una dintre caracteristicile principale ale acestei categorii de sisteme într-un asemenea context rezultă actualitatea problematicii toleranței la defectări, ca reprezentînd in timp o importantă direcție de perspectivă pentru cercetare, proiectare ріпм \ Toleranța la defectări — atribut arhitectural al unui sis^ r — —— - - ' ~ ЧЛеМиЕгеа funcțiunilor laț la nivfl Лдап/ггя/г ИИ&Е șofțwțES ~ acestuia chiar atunci cînd înșjfdflll lillt'H'lll uild ffltl , г • Concept apărut cu peste două decenii în S-a dezvoltat ca domeniu de cercetare distinct dufa , cupările privind realizarea unor sisteme de calcul fiabik /лхіі/ь ază numai defectele fizice ale SSembric , Editura Politic* Uucure^ti p имл тлл л м««« componentelor, ci fi cronic premu sînt esențiale in primul rîud pentru sishmcle informatice, la care soflware-w este și t'rt rămine o parte critică, iar in al doilea rfnd, pentru sistemele hardware proiectate și realizate fn tehnologie I 'LSI Volumul este structurat in cinci capitole în primul capitol sini prcientate problematica și conceptele de bază ale domeniului tolerantei la defectări Sini evidențiate etapele nuci strategii de implementai г a tolerantei hi defectări, aprofundate, in capitolele următoare in contextul cercetărilor pe plan mondial și proprii ale autorilor Capitolul este destinai analizei sinul urilor rcdondanlc ce, pol fi aplicate sistemelor hardware pentru -protecția sistemului la apariția defectări,' r Sînt studiate in mod critic principalele, scheme de implementare a redondanței precum și problemele specifice, legate de, realizarea lor, cum ar fi acelea /-le sincronizării elementelor replicate din structura sislcmului De asemenea, sînt evidențiate soluțiile optimale pentru implementarea diferitelor structuri reden-danie, propunindii-se criterii de comparare a lor din punct de vedere călită:- -:; sc menționează în special introducerea — în vederea evaluării globale a p'/fer-man/elor unui anumit tip de redondanță — a indicelui de eficiență, care permite luarea în considerare simultană atît a efectelor utile ale aplicării redo daniei prin creșterea fiabilității, cit și mărirea corespunzătoare a cc-h-lui sistemului Pe această bază sînt analizate în mod aprofundat structurii-: re-dondante de tip logică majoritară simplă, logică majoritară multiplă ; de comutație, cvidcnțiindu-se o serie de particularități ale implementării a-'-r structuri, cum ar fi — de exemplu — stabilirea nivelului optim de parti' • a sistemului pentru aplicarea redondanței Aceeași problemă a aplicării redondanței la nivel optimal este ale -аал și din alt punct de vedere în ce condiții — pentru creșterea fiabilități: - i sistem prin utilizarea aceleiași structuri redondante — trebuie să se precC-ze la suplimentarea numărului de rezerve sau la modificarea gradului de - -ț ion are a sistemului în capitolul sînt studiate unele aspecte ce privesc tehnicile de a defectărilor -în sistemele tolerante la defectări atît în cazul funcționării o:: li ? cit și în cel al funcționării on line a rezervelor Astfel, in prima parte a toiului se analizează principalele metode de generare a secvențelor de ies: deiițiindu-se în- mod critic particularitățile acestora', prin exemple și excmple se reliefează utilitatea sau unele utilizări necorespunzătoare ale > > •-metode în partea a doua sc abordează într-o manieră unitară — Л?/-; de la un model general propus pentru aceste sisteme - ■ o serie de st autolestabile O atenție deosebită este acordată circuitelor de contre! ? intră în componența aiisamblelor de supraveghere a corectitudinii funcțiilor de ieșire ale sistemelor autolestabile Se dezvoltă și se exemplifică metod -destinate sintezei acestor circuite Capitolul se încheie cu o trecere în revistă a frincîfalelor metode de usi-gurare a unei tcslabililăți ușoare pentru circuitele electronice eorespunzău a-e structurilor analizate Capitolul d cuprinde o analiză a unor tehnici sofisticate de reali:, c a toleranței la defectări, cum ar fi cele ba ale fe autoreeonfigurare și cele im~ plementatc cu mijloace software Se menționează iu mod special modelul recvn-figurării optimale în sistemele miillifrocesor, precum și studiile privind realizarea soflwure ithii loleranl la erori, ulilizîiidii-se metodele blocurilor de resta- — ■ ■ l'ihie, programarea N-vcrstcmală fi programarea N-auloleslabilă în încheiere sjnt analizate șt caracteristicile a șase sisteme tolerante la defectări cvidențiindu-se pentru fiecare tehnicile abordate J Ultimul capitol este consacrat reliefării performanțelor de fiabilitate ale unor structuri tolerante la defectări, luîndu-se in considerare defectările posibile In prima parte sini dezvoltate în principal modele pentru analiza fiabil ist ieă a structurilor redondanle utilizate cu precădere în sistemele digitale in prezența unor defectări de tip permanent, fără a lua în considerare posibilitățile de reparare Apoi, cu aceeași ultimă ipoteză, se elaborează o metodica de analiză a probabilității bunei funcționări în prezența defectărilor cvasi temporare Ultima parte a analizei se referă la sistemele re par abile Folosin-du-se modelele markoviene se studiază — pe baza unor studii de caz — performanțele de fiabilitate ale acestor sisteme Volumul este bazat în principal pe cercetările autorilor în acest domeniu, dar și pe analiza unei largi bibliografii, îndeosebi articole publicate în principalele reviste de specialitate — IEEE Transactions on Compziters, IEEE Transactions он Rcliability etc — , precum și în volumele unor congrese internaționale de specialitate — în principal International Symposium on Fault-Tolerant Computers ș a Lucrarea se adresează specialiștilor din cercetare, proiectare, producție din domeniile tehnicii de саісъіі, nuclear, aeronautic, comunicații, militar tuturor celor care se ocupă de sisteme complexe de mare răspundere funcțională, precum și studenților din învățămîntul tehnic superior și doctoranzilor în „specialitățile amintite AUTORII PRINCIPII GENERALE PRIVIND SISTEMELE TOLERANTE LA DEFECTĂRI INTRODUCERE Aspectele referitoare la elaborarea unui sistem sigur în funcționare pot fi abordate în două moduri de lucru complementare: evitarea defectării sistemului și, respectiv, toleranța la defectări a sistemuliii Evitarea defectării sistemului constă în încercarea — realizată încă din faza de proiectare a acestuia — de eliminare sau limitare a funcționării anormale prin utilizarea de componente fiabile, regimuri de lucru facile pentru componentele sistemului, eliminarea erorilor de concepție cu diferite tehnici de verificare a proiectării logice sau programe de verificare a funcționării Dar, cu toată adoptarea tehnicilor de evitare a defectărilor, acestea sînt în mod uzual prezente în sistemul construit; de exemplu, din cauza complexității pot apărea defectele de proiectare, iar îmbătrînirea (uzura) componentelor hardware ale sistemului poate conduce la defectarea acestuia Toleranța la defectări a unui sistem este un atribut arhitectural al acestuia, care face posibilă operarea sistemului chiar atunci cînd în structura sa intervin unul sau mai multe defecte în lipsa acestei calități, sistemul ar avea o funcționare anormală ToleranțaJța defectări șe realizează cu o suplimentare a « care va acționa atunci cînd arc loc^inudefect în sensul păstram funcțiilor sistemului fic prin mascarea dofectărilpr care apar? fiejuu de tec Ц a def ec-tănlor și reconfigurarea corespunzătoare a sistemului Tehnicile de tolerare a defectărilor au fost inițial dezvoltate in legătură cu protejarea sistemului construit cu componente hardware nefiabile O dată cu utilizarea componentelor semiconductoare și mai ales a tehnologiilor integrate, țelinicilc dc^tolenuT ti alefecțavilur au foât d^volTxte peiytrii aplicații speciale ale sistemelor care jiiLailniiteau Jnt ХГРР ег ІП misiunii lor Există citcva argumente care pledează pentru implementarea toleranței la defectări mai pregnant în domeniul sistemelor informatice (sisteme de comunicație, procesoare, calculatoare etc ), care au devenit clemente de analiză și decizie în cele mai diverse domenii Preluarea de către sistemul ■ ceea ce sugerează că implementarea toleranței la defect; cazul sistemelor mari — poate conduce la rezultate mai -„ re m , conducind la scăderea disponibilității sjs-'i — mai - — bune de disponibilitate, securitate, inclusiv din punctul de vedere al costului, comparativ cu realizarea sistemelor de înaltă fiabilitate, dar intolerante Ja delectări Astfel, apare contradictoriu faptul că un sistem de calcul, care conține sisteme dc operare sofisticate pentru rezolvarea automată a’unor scrii mari de probleme complicate, să' fie indisponibil un timp în care ar putea prelucra milioane de operații, din cauza unei componente defecte, unei conexiuni desprinse sau unei celule mai lente decît celelalte zeci de mii de componente ale memoriei principale, de exemplu Soluționarea acestei clase de probleme de „supraviețuire" a sistemului cu ajutorul uneia dintre tehnicile toleranței la defectări nu este mai dificilă decît realizarea componentelor și sistemelor cu o rată, a defectărilor foarte scăzută Desigur,, argumentul de bază în favoarea utilizării toleranței la defectări ar putea fi reducerea costului necesar asigurării — pentru sistemul tolerant la defectări — unui timp de bună funcționare echivalent cu cel al sistemului foarte fiabil, dar netolcrant la defectări Evident, introduc rea toleranței la defectări ca o caracteristică a sistemului va însemna o investiție inițială — uneori—substanțială — necesară proiectării sistemului și canti-tătii suplimentare de hardware sau/și Software Totuși, o analiză globală comparați vă -evidențiază pentru sistemele cu structură tolerantă la defectări — o reducere a costului necesar obținerii unui anume timp de viață al sistemului; aceasta atît datorită costului mai scăzut al componentelor sistemului, care nu trebuie să fie la fel de fiabile ca acelea utilizate în sistemele dc mare siguranță în funcționare, dar intolerant- la defectări, cit și — în special — datorită reducerii șau chiar eliminării timpului necesar mentenanței corective Mai mult, toleranța la defectări a sistemelor este o necesitate în cîteva domenii de aplicații, cum ar fi: • domenii în care o funcționare anormală a sistemului реяс ін pericol viața omului — controlul și desfașuiaiea ti al icului aerian, feroviar sau alte forme ale transportului cu vehicule, controlul proceselor din centralele nucleare, monitorizării în spitale etc ; • domenii în care o întrerupere neprevăzută a sistemului carueaza pierderi importante f inanciare, ca dc exemplu controlul proceselor din mdus-tria chimică, metalurgică, controlul sistemelor de comutație telefonic :a, sau sternul Iria chimică, metalurgică alte tipuri de comunicații energetic național etc ; • domenii in care manuale a sistemului, cum ai în plus, la aceste argumente în favoarea utilizării sistemelor tolerante la defectări se mai adaugă suportul psihologic adus utilizatorului uman ca defect despre care se chiar dacă probabilitatea apariției sale este care satisfac condiția dc concatenaritate J , Definiția dată obiectului abstract este o exprimare formală a faptului ca orice interacțiune cu un obiect fizic implică varierea unora dintre atributele acestui obiect și observarea variațiilor care rezulta la celelalte atubu Atributele care sînt variate joacă rolul de intrări (cauze), iar variații v zultate sînt ieșirile (efecte) Numind pe X - Ut л» y?v») ț te‘ țn și pe Y = (уі, ye, „,ym) vector de ieșire, rezulta că obiectul abstract e> esență o mulțime de perechi intrare-ieșire ки-л» dacă V Un sistem real poate fi modelat printr-un singur obiect aț^tra analiza acestuia este situată la nivel global, atunci cind se consic v variabilele de intrare și ieșire, dar poate fi modelat printr-o interconexiune de obiecte abstracte, dacă este analizat la nivel structural, considcrîndu-se elementele sale componente Astfel, se consideră o mulțime de obiecte abstracte сЛу, cA , cA, m care o parte dintre intrările sau ieșirile lui pot fi constrînse să fie egale -pentru toate valorile lui / •— cu unele intrări sau ieșiri ale altor obiecte abstracte din mulțime O astfel de combinație de obiecte abstracte formează un sistem privit structural în figura se dă un exemplu de combinație a două obiecte abstracte Variabilele de ieșire ale lui c^j sînt variabile de intrare X pentru și variabile de stare pentru cA Rezultă astfel structura sistemului cA La rîn-dullor, c^sau c/ pot fi prezentate ca ocombinație de obiecte abstracte componente, avînd astfel exprimată structura sistemului la un alt nivel Acest model general, furnizat de teoria sistemelor, poate fi utilizat in vederea descrierii unui sistem real sub diferite aspecte, depinzînd de interpretarea fizică dată variabilelor de intrare, ieșire și stare în particular, este necesar să se cunoască structura sistemului atunci cînd se urmărește realizarea unor sisteme fiabile, deoarece structura unui sistem arc un impact major asupra fiabilității sale; analiza și optimizarea corelației structură-fiabilitate este de o importanță deosebită în cazul proiectării sistemelor tolerante la defectări Analiza performanțelor de fiabilitate ale unui sistem poate fi abordată global sau la nivelul structurii interne a sistemului Dacă sistemul este privit global — în absența informațiilor legate de structura sa internă — pot fi elaborate modele de fiabilitate care permit, de exemplu, determinarea relațiilor funcționale între performanțele sistemului — variabilele de ieșire — și solicitări — variabilele de intrare Atunci cînd poate fi evidențiată structura sistemului, este posibilă elaborarea unor modele de fiabilitate care leagă performanțele sistemului de solicitări prin intermediul parametrilor clementelor componente ale sistemului; deși mai laborioase, acestea prezintă avantajul că permit o modelare fiabi-listică mai aprofundată, devenind posibilă pe această bază și optimizarea structurii sistemului din punctul de vedere al fiabilității , Implementarea oricărei tehnici de toleranță la defectări implică o intervenție în structura sistemului — care trebuie să fie bine controlată — Ч un anumit nivel Așadar, structura sistemului va sta la baza metodologiei de proiectare și realizare a toleranței la defectări Definițiile date mai sus sistemului și structurii sale sînt suficient de genei ale, fiind aplicabile oricărui sistem real; în particular, ele sînt utili-zabile și in cazul sișt cinelor Activitatea unui sistem software nu este generată de componente fizice, ci dc^componcntc abstracte, numite procese Activitatea unui proces este gmdita ca secvența acțiunilor generate de un program sau un set de programe lulate Un sistem software poate fi considerat [ ] ca un singur proces compicsiv, care în general — poate fi structurat ca un set dc procese interactive, analog componentelor sistemului în practică insa, software-ul nu poate fi considerat izolat de hardware# Interacțiunea între cele două componente, software și hardwrare, într-un sistem poate fi modelată în diferite moduri în continuare, se va prezenta un astfel de model evidențiindu-se ponderea componentei software într-un sistem dc calcul Se consideră un sistem de calcul, care privit ca un sistem hardware, are patru componente: un cititor de cartele, o imprimantă, o unitate de memorie și un procesor în memorie este stocat un singur program și datele sale, acesta fiind executat de către procesor Privit ca un sistem software, acest sistem de calcul poate fi modelat ca un proces secvențial, cuprinzînd activitatea generată de execuția programului Pentru a analiza structura internă a procesului, este necesar să se considere relația de interacțiune hardware-software Din punctul de vedere al hardware-ului, software-ul există numai ca o parte a stării unității de memorie și rămîne pasiv, iar programele diferă numai datorită valorilor datelor O examinare a componentei hardware care înmagazinează componenta software evidențiază că software-ul este reprezentat ca o secvență adresabilă de cuvinte de memorie, o structură validă, dar puțin utilă în practică Un studiu mai detaliat al componentei hardware ar conduce pînă la organizarea memorării la nivel de bit Un asemenea mod de a examina structura software-ului nu este relevantă într-o analiză de fiabilitate a sistemului de calcul sau pentru implementarea toleranței la defectări Pornind de la definiția dată pentru sistem — ca un obiect abstract — se propune următoarea abordare în cazul sistemului analizat: programul stocat în memorie este privit ca un obiect abstract, fiind o componentă a sistemului; celelalte componente ale sistemului sînt obiectele abstracte manipulate de program, atunci cînd acesta este rulat Cu punctul dc vedere menționat, sistemul considerat are structura indicată în figura Se observă că programul nu mai apare inclus m memoria piocesorului,ci devine o componentă a structurii sistemului în această reprezentare abstractă a sistemului de calcul, componentele sale corespund componentelor hardware ale sistemului fizic: cititorul de cartele și imprimanta sînt identice cu componentele fizice cititor cartele și imprimantă ale sistemului; datele reprezintă programul stocat în memorie; procesorul corespunde funcțiilor aritmetice și logice executate de procesorul material al sistemului de calcul Se remarcă totuși că procesorul abstract prezentat în acest model nu mai execută prograțutil: programul oslo privit ca obiectul abstract care controlează interacțiunile dintre componentele abstracte ce intră in structura sistemului Structura internă a componentelor abstracte poate li modelată în continuare examinind, în același mod structura internii a componentelor hardware Pentru partea de software se acceptă o divizare consiliul din componentele instrucțiuni de bază în acest sens, programul poate fi reprezentat ca un arbore avind originea (rădăcina) programul propriu zis, ramurile со-respunzind instrucțiunilor individuale conținute în program O astfel de structură arborescentă are avantajul că evidențiază modul d descompunere ierarhică a unui program, lotuși, un astfel de model este ulii mimat in măsură în care clarifică aspectele organizării unui program, precum și în ini • plcmentarca tehnicilor de proiectare pentru sistemele software cum sini tehnica descendentă „top-down", sau tehnica ascendentă „bol lom-up Această structură este — se pare — mai utilă pentru programele scrise in limbaje de nivel înalt, care favorizează modularitatea Modelul abstract — reprezentat grafic în figura — propus pentru sistemul analizat permite construirea unui model de fiabilitate al sistemului, evidențiind in mod realist ponderea componentei software în evoluția sistemului CONCEPTE DE BAZĂ în cele ce urmează sînt introduse citeva concepte de bază utilizabile în domeniul sistemelor tolerante la defectări Definiția cea mai acceptată dată sistemelor tolerante la defectări este aceea potrivit căreia sistemul își poate continua execuția corectă a funcțiilor sale de intrare/ieșire, fără o intervenție din exterior, în prezența unei anumite mulțimi de defectări ce apar în timpul funcționării sale [ ], [ ], [ ] Definiția este aplicabilă la orice nivel al unui sistem, indiferent dacă această caracteristică este implementată hardware sau software Prin execuție corectă se va înțelege că rezultatele operării sistemelor nu conțin erori, iar timpul de execuție al unei operații nu depășește o limită specificată defectare ce apare în timpul funcționării operaționale a unui sistem este o schimbare în valoarea uneia sau a mai multor variabile de ieșire sau de stare ale sistemului; defectarea constituie consecința imediată a evenimentului defect Evenimentul fizic defect este o imperfecțiune fizică a unui clement al sistemului, care antrenează o funcționare permanent, temporar sau intermitent eronată sau poate fi un factor extern care conduce la nefuncționarea sistemului Defectările operaționale ale unui sistem se clasifică după durată în permanente și temporare, iar după extindere în singulare și multiple Cauzatc de defectele permanente ale compo corect ѴипгГ îi Ul' l,roteCtia î,nPoti iva acestora pentru realizarea execuției ți oi sistemului impune fie prezența componentelor de rezerva, care vor înlocui componentele continuarea operațiilor, fără a ționarea sistemului defecte, fie măsmi de гесопіі цurare ixm Uu mai interveni componenta defecta in' fune- Defectele temporare sini de durata limita ționărilc temporare ale componentelor sau de defectări pot fi caracterizate prin parametrul tarile care au acest parametru de valoare maiv ritmu de protecție ai sistemului în vederea reni ca fiind permanente [ ], pentru fiecare caz în parte Defectările pscudotemporarc sînt defectări iminente ale componentelor sistemului, pentru a căror nmni(i u e\'stc’n — funcția de realizare a specificațiilor; dacă atunci p(R) e * Fiabilitatea, reprezintă capacitatea unui sistem de a* și îndeplini funcția pentru care a fost proiectat și realizat Se măsoară prin funcția do fiabilitate» K(f), definită ca fiind pro^ labilitatea ca sistemul să funcționeze fără defectări în intervalul de timp ( » /) în condiții determinate ** Disponibilitatea reprezintă capacitatea unui sistem do a-și îndeplini funcția pentru care a fost proiectat și realizat în condiții do utilizare precizate la un moment dc timp dat Sc măsoară prin funcția de disponibilitate» definită ca probabilitatea ca sistemul să fi& în stare de funcționare în momentul do timp O , ?rin лС ІЭ?а de s/stemc sc înțelege, în acest context, o clasă de sisteme ounaie, aqica o mulțnnc dc structuri dc același tip specificate în mod formal Uecare avmd o comportare asociată determinată de tipul structurii Exemple m acest sens sînt mulțimea programelor formale relative la o metodă de programare, sau toate sistemele automate finite, toate rețelele dc comutație etc, Intr-o reprezentare ( /, , p), fiecărei realizări individuale Re Si n este repartizată o specificație p(R)eSp, cu interpretarea că p(R) este o reprezentare structurală a unui sistem definit dc R De exemplu, dacă este mulțimea tuturor mașinilor secvențiale și este mulțimea tuturor rețelelor dc comutație secvențiale, atunci p( ?) este o mașină secvențială definită de rețeaua de comutație R Dacă Sp — , p este funcția identitate pe , iar schema ( , , p)va fi notată mai simplu Pe baza acestei definiții formale, se va defini în continuare conceptul de sistem cu defect Unui sistem cu defecte, într-o reprezentare ($p, , p), îi corespunde b structură de tipul ( , F, Ф), unde SeSp,F este o mulțime de defecte ale lui S, iar Ф : F —» , astfel că pentru oricare feF, Ф(/) = Sf, în care reprezintă sistemul cu defectul / în acest context, se poate scrie că atunci cînd/eT , sistemul Sf, Sf — Ф(/), este rezultatul existenței lui f Deci, un sistem cu defecte este o reprezentare formală a unui sistem potențial nefiabil : S reprezintă sistemul fără defecte, F — o mulțime de defecte potențiale care se pot produce în procesul realizării lui S, iar pentru un defect /, feF; Sf — Ф(/) este realizarea sistemului în prezența lui / Defectul / poate fi un defect impropriii dacă procesul de realizare a lui S în prezența lui / conduce la sistemul specificat , adică p(Sr) = S Un defect / este propriu, dacă procesul de realizare a lui S în prezența defectului / nu mai conduce la realizarea lui S, adică p(S') t Un aspect important al formalismului dezvoltat mai sus, este acela că acest formalism permite reprezentarea oricărui tip de defect al sistemului: defect de proiectare sau defect al unei componente fizice a sistemului, care apare în timpul vieții acestuia datorită unor cauze aleatoare sau uzurilor Mai mult, formalismul evidențiază distincțiile între cele două tipuri-de defecte / *• în formalismul (&p, , p) unde este clasa specificațiilor, iar Л clasa realizărilor sistemelor ca rezultat al procesului dc proiectai e, prezența defectelor de proiectare este indicată de relația &P , adică specificațiile diferă de realizări Prin urmare, dacă (S, F, Ф) este un sistem cu defecte , F reprezintă o mulțime a defectelor posibile de proiectare atunci cina o, Pe de altă parte, în reprezentarea defectelor componentelor fizice țarc apar în timpul vieții utile ale unui sistem, tripletul (Sp, , p) este de tipul ( , , p) = , deoarece sc presupune absența erorilor de proiectare, lăi claca (S, F, Ф) este un sistem cu defecte, F este mulțimea defectelor componentelor fizice din timpul vieții utile a sistemului TOLERANȚĂ LA DEFECTĂRI ȘI DIAGNOZăBILITATE Se consideră un sistem cu defecte ( , E, Ф) într-o schema de sper i , (£ , p) și un defect impropriu, /, feF Se pune problema daca sis e $! — Ф(/) este utilizabil, în sensul că funcționarea lui se aseamana limite acceptabile - cu funcționarea unui sistem fără defecte în caz afirmativ, înseamnă că există relația de toleranță a defectului/, acceptată de sistemul S Condiția (Z?, р( ?))ет, pentru oricare R e «A, reflectă cerința că funcționarea unei realizări a sistemului prezintă Întotdeauna toleranță la defectări Cu acest formalism se poate da în continuare următoarea definiție: Dacă (S, F, Ф) este un sistem cu defecte într-o reprezentare SI, p), t este o relație de toleranță pentru defectul /, feF, dacă (Ф( ?), ) е т, iar atunci cînd mulțimea (Ф/), S) defectul este diagnosticat cu relația structurală t Astfel, se poate nota că un defect impropriu este întotdeauna acceptat de sistem deoarece p (Ф)(/)) = S, de unde rezultă (Ф(/), S) e r Pe de altă parte, dacă un defect/este diagnozabil cu relația r, înseamnă că va exista o secvență de semnale de intrare care va produce o ieșire eronată, prin aceasta rczultînd un test de diagnosticare a defectului / Cele două concepte — toleranță la defectări și diagnosticare a defectelor — sînt complementare; dar, este posibil ca în cazul unor sisteme de •'tipul (S, F, Ф) să existe o relație т de toleranță, a defectărilor și o relație r' de diagnosticare a defectelor, astfel incit т r' STRATEGII DE IMPLEMENTARE A TOLERANȚEI LA DEFECTĂRI Relația structurală т — din modelul anterior — care asigură, sistemului toleranța la defectări poate fi o relație de mascare a defectărilor sau de corecție și reconfigurarc adecvată a sistemului în general se disting trei tipuri de strategii ce pot fi urmate pentru implementarea tolerantei la defectări : — strategii bazate pe diagnosticarea defectărilor și înlocuirea clementelor defecte; — strategii bazate pc mascarea—defectărilor; — strategii hibride bazate pe mascarea defectărilor, diagnosticarea și înlocuirea elementelor defecte în figura se indică, sintetic aceste strategii, reliefîndu-se mecanismul tolerării defectărilor în toate cazurile intervine redondanțer fie o redondanță la nivel hardware sau software, fie o rc-dondanță a funcțiilor sistemului ;ei la defectări aplicată unui • metodologie de implementare a tolerantei la defectări aplicată, unui sistem trebuie să înceapă cu specificarea cerințelor do fiabilitate pentru acel sistem, sa continue cu selecția metodelor de diagnosticare a defectărilor și a algoiitmilor de mascare a defectărilor sau reconfigurare a sistemului și să sî iС^гformУпг V UailCr * \c l’ante\ defijetări — a relației structurale т — ’’ ,c ( c fiabilitate și economice aduse sistemului în conținu- аіс лоі fi specificate principalele aspecte ale acestor etape, urmînd ca în capitolele următoare ele să fie reluate în contextul dezvoltării teoretice și prezentării unor cercetări proprii în aceste domenii ALGORITMI DE DETECȚIE SI DIAGNOSTICARE A DEFECTĂRILOR Detecția și diagnosticarea defectărilor — identificarea unei relații structurale t' pentru tripletul (S, F, Ф) — constituie punctul de pornire al oricărei implementări a toleranței la defectări, atunci cînd aceasta este realizată prin reconfigurarea sistemului Toate acțiunile de localizare a defectărilor sistemului pot fi considerate ca fiind incluse în algoritmul de diagnosticare a defectărilor — etapă a unei metode de implementare a toleranței la defectări pentru realizarea R a unui sistem dat într-un astfel de algoritm se disting următoarele abordări: • Testarea inițială, care sc desfășoară înaintea utilizării normale a sistemului, permite identificarea elementelor hardware defecte ale căror imperfecțiuni au fost introduse în timpul proceselor de fabricație sau asamblare, a erorilor dc proiectare sau a erorilor software • Testarea „on line" a defectărilor arc loc simultan cu operarea normală a sistemului; poate fi implementată fie cu mijloace hardware, fie cu mijloace software speciale care operează simultan cu programul de lucru normal al sistemului Implementarea sa implică utilizarea codurilor detectoare de erori, dublarea clementelor și compararea variabilelor de ieșire, utilizarea diferitelor forme dc circuite autotestabile — în cazul sistemelor digitale —, a sistemelor de supraveghere, a diferitelor echipamente de testare care fac parte din sistem, cum ar fi microprocesoarele de mentenanță, care execută programe dc monitorizare ale sistemului etc Principalul avantaj al testării „on line" este acela că detecția / diagnosticarea defectării are loc înainte de a se produce prejudicii importante în sistem Testarea sistemelor în vederea detecției sau diagnosticării defectărilor atunci cînd operarea normală este întreruptă este implementată pentru sistemele mari, în principal prin programe de test speciale sau repetări ale aceluiași program în vederea comparării rezultatelor Comparativ cu metodele testării inițiale, în acest caz testarea este executată — mai degrabă — de către sistem însuși decît de către alte echipamente din afara sistemului, iar timpul de testare este dc obicei mai mic Se realizează în momentul evidențierii defectării sau în timpul operațiilor de mentenanță preventivă • Testarea modulelor redondante din structura sistemului este considerată o funcție necesară a unui sistem tolerant la defectări; trebuie șă șe verificejdacă modulele dc rezervă sînt capabile să preia funcțiile modulelor funcționale, atunci cînd arc loc o defectare a acestora în acest scop sînt uti-fizătefie*metodele testării on-linc, (utilizate de sisteme autotestabile), fie metode ale testării off-Jine (utilizarea de diferite programe de diagnoză sau a altor metode ale mentenanței preventive), funcție de tipul redondanței protective folosite Cxract«riure depâ iJptU Ш AS - J ? >Ге > Tlpuț strategiei Caracterizare după tipul structurii redondante Mecanismul tolerării defectărilor — cu detecția defectărilor redondanță modulară cu N unități: sistem NMR cu structură redondantă ma-sivă fără detecția defectărilor eliminarea elementului defect: „seif purging System** | cu oprirea funcționării sistemului la aoaritia a N- defecte continuarea funcționării pe o singură — unitate: „TMR-sim-plex** -mascare intrinsecă a defec- — țărilor utilizare de structuri redondante de tip „quading logic" utilizarea de circuite cu securitate intrinsecă de tipul „fail safe cu structură redondantă selectivă (utilizarea de coduri corec- — toare de erori) utilizarea de coduri corectoare de erori și diagnosticarea elementelor defecte structură redondantă та- — sivă* „NMR dinamic" — cu detecția elementelor defecte și oprirea sistemului atunci cînd a fost atins un număr stabilit apriori rezervă activată rezervă neactivată fără detecția elementelor se înlocuiește elementul cu un element do rezervă Mg Strategii de implementare a toleranței la defectări defecte defect rezervă activată rezervă neactivată ALGORITMI DE RECONFIGURARE A SISTEMULUI Alegerea metodelor de diagnosticare constituie baza pentru pasul următor al implementării toleranței la defectări: reconfigurarea sistemului Toate acțiunile inițiate din momentul detecției unui semnal-croare pîna la reluarea operațiilor- normale ale sistemului constituie algoritmul reconfigu-rării sistemului Există mai multe metode- de reconfigurare a sistemelor, diferența principală fiind modul interacțiunii cu operatorul uman Prezintă interes o clasificare a metodelor dc reconfigurare în funcție dc starea sistemului după reconfigurare Se deosebesc: • Metode care realizează o reconfigurare totala a sistemului, atunci cînd sistemul își reface structura hardware și software dinaintea apariției defectării în acest caz, elementele defecte ale sistemului sînt înlocuite de rezerve, iar programele sau datele sînt readuse la starea avută înaintea apariției defectului • Metode care realizează o reconfigurare parțială a sistemului {gr a ce ful degradation sau fail soft operation), care aduc sistemul la o stare de funcționare corectă, dar cu o capacitate de operare redusă Aceasta înseamnă că unele module hardware din structura sistemului au fost înlăturate fără a mai fi înlocuite și prin aceasta citeva programe și/sau date se pierd, sau cîtcva funcții ale sistemului durează un timp mai mare decît cel permis • Metode de deconectare automată a sistemului, în vederea evitării diferitelor avarii ale acestuia și pentru încetarea interacțiunii cu alte sisteme sau utilizatori umani (sisteme de tip fail safe); reprezintă un caz-limită al reconfigurării parțiale Totodată, se furnizează mesaje de deconectare și diagnostic utilizatorilor, specialiștilor din întreținere sau diferitelor echipamente, în cazul unei mentenanțe automate Algoritmii de reconfigurare ai sistemelor pot fi implementați atît la nivel hardware (asistat de nivelul software al sistemului), cît și la nivel software Implementarea reconfigurării la nivel hardware implică utilizarea unui sistem hardware adițional specializat în colectarea semnalelor indicatoare de defect și care inițiază procedeele de reconfigurare, Un exemplu în acest sens’îl constituie sistemul JPL-STAR [ ], primul calculator reconfigu-rabil controlat dc un sistem hardware adițional Implementarea reconfigurării sistemului la nivel software, implicind utilizarea unui sistem software special poate avea ca limitare principală fap~ tul că software-ul sistemului trebuie să rămînă operațional în prezența defec-tării nivelului său hardware ALGORITMI DE MASCARE A DEFECTĂRILOR O formă specială de reconfigurare a sistemului pentru tolerarea defectărilor sale o constituie mascarea acestora, realizată datorită structurii redondante de tip static a sistemului respectiv (structură redondantă logică majoritară, logică cvadruplă, logică cablată etc ) in , PJ ltc гil ui)sistanulm siui^sishnnului rcspectiv -e ivJ??Vi’;nrdln afar: UU sist,cm carcî^âîîzează mascarea defectărilor sale, nu reconfimn-ir П >>І,ГІ ,U mt pișmmprt conectate, mascarea defectărilor realizîndu-sc astfel, instantaneu și automat Utilizarea unei tehnici de mascare a defectărilor în implementarea to-iranței la defectări este bazata pe presupunerea că defectările modulelor de i czeiva smt evenimente independente Din această cauză utilizarea tehnicilor de mascare a~ defectărilor este dificil de justificat pentru o structură redon-danta internă a unui circuit integrat la carc este foarte probabilă apariția defectărilor dependente PERSPECTIVE PRIVIND DEZVOLTAREA SISTEMELOR TOLERANTE LA DEFECTĂRI Conceptul de toleranță la defectări (fault tolerance), introdus în anii ' , dezvoltat după , a devenit familiar printre cerințele de performanță — in special — ale sistemelor de prelucrare și transmitere a datelor O analiză a utilizării toleranței la defectări [ ], [ |, Г ], [ , [ ] evidențiază că doar sistemele pentru care se pune în mod acut problema realizării unei fiabilități și disponibilități foarte ridicate este necesar să fie în totalitate tolerante la defectări Pentru restul sistemelor, doar unele părți afectate de defectări critice trebuie să fie cu structuri tolerante la defectări Considerăm că realizarea de progrese în domeniul sistemelor de prelucrare și transmitere a informației-tolerante la erori implică cercetări avînd următoarele obiective: • Acceptarea toleranței la defectări ca un atribut arhitectural, accesibil și necesar al sistemelor Astfel, devine necesar ca eforturile prixind creșterea fiabilității calculatoarelor — de exemplu — să nu mai fie fragmentate în domenii restrînsc — ale arhitecturii sistemelor, ingineriei software-ului, testării și verificării proiectării, dezvoltării unor tehnologii sofisticate ce asamblare-—, ci să fie concentrate asupra dezvoltării unoi tehnici globale eficiente de implementare a toleranței la defectări • Stabilirea unor indicatori cantitativi care să evidențieze beneficiile aduse de utilizarea toleranței la defectări pentru sistemul respectn Costul inițial mai ridicat necesar realizării unor structuri redondante este acela care determină pe utilizatori să prefere pentru realizarea unor sisteme foarte fiabile tehnici netolerante la defectări; de aceea este necesară introducerea unor indicatori care să justifice investiția inițială financiară mai mare prin evidențierea beneficiilor ulterioare Un astfel de indicator trebuie, de exemplu, să evidențieze reducerea eostnM вЛ “r reaÎMrli - pentru sistemul analizat - unui tunp dat ndt- cat de buna funcționare prin utilizarea toleranței la defectări, comparativ cu alte tehnici de realizare a acestui timp de buni funcționare pentru sistemul intolerant la defectări • Elaborarea unor specificații pentru evaluarea toleranței la defectări Definirea indicatorilor dc fiabilitate uzuali (funcția de fiabilitate, MTBF etc ) în cazul sistemelor tolerante la defectări la fel ca pentru sistemele netolerante la defectări nu poate evidenția convenabil starea și performanțele sistemului; este de asemenea necesară definirea unor indicatori specifici care să evidențieze caracteristicile procesului de rcconfigurare a sistemului la apariția unei defectări • Elaborarea unor modele matematice corespunzătoare care să permită descrierea abstractă a sistemelor din punctul de vedere al implementării toleranței la defectări Astfel, dacă ne referim la sistemele informaționale, acestea pot fi descrise în termenii unei succesiuni de patru sfere (universuri), ordonate în următoarea succesiune: fizică, logică, informațională și externă (cea a utilizatorilor) Fiecare univers are o convenție temporală, care determină baza pentru observarea și interpretarea variabilelor care reprezintă structuri informaționale și semnale de control Funcționarea corespunzătoare a sistemului, așa cum este ea observată la niveluri externe, poate fi întreruptă de către un „eveniment nedorit"; acesta își are originea intr-unui din universurile interne și poate produce problema în toate universurile superioare acestuia Conceptul de toleranță la defectări a sistemului și metodologiile pentru implementarea sa pot fi explicate în termenii celor patru universuri, a evenimentelor lor nedorite, a algoritmilor de detecție a acestor evenimente și a procedeelor de restabilire a sistemelor Pe această bază, este posibilă elaborarea de modele matematice abstracte, deci cu un grad suficient de generalitate, care pot fi apoi particularizate în cazul diferitelor categorii de sisteme, elaborîndu-se pe această bază unele proceduri optimale de proiectare ajsis temelor tolerante la defectări- • Crearea de sisteme experimentale Acestea demonstrează utilizatorilor potențiali performanțele sistemelor tolerante la defectări, demonstrație care nu poate fi egalată de o simulare sau modelare matematică Progresele rapide înregistrate în realizarea circuitelor integrate de tip VLSI reliefează perspectiva construirii sistemelor electronice tolerante la defectări la un preț rezonabil în același timp însă, soluționarea problemelor legate de dezvoltarea circuitelor VLSI conduce la apariția unor noi demonii de cercetare, atît tehnologice, cit și legate de fizica defectelor Astfel o primă problemă are în vedere dimensiunile reduse ale circuitelor: lățimea conductorilor de conexiune ajungînd de la pm în anii la pm pentru prototipurile realizate azi; aceasta face ca aceste circuite să fie susceptibile la impactul cu particulele a, impacturi nesemnificative pentru cele mai multe circuite de tip LSI în acest sens devin necesare cercetări viitoare pentru dezvoltarea tehnicilor de verificare, detecție a defectărilor tranzitorii și recuperarea sistemului, în sensul mascării acestor defectări într-o funcționare normală A doua problemă este legată de creșterea complexității logice a circuitelor (un „cip" avea circa porți logice în anii , în și tare să fie rar nC!ia tU‘UrOr сгогі огde Ptoiec- acestor circuite ’ alCl t,abll'tat'a potențială mai scăzută a T«-Ur^roblema crori l,or dc proiectare nedetectate in circuitele VLSI este si perfectă“sCtrfo rte"o°stisi odUal- Sof,l"arc: in ambelc cazuri » proiectare tate sint imposibil d°e Xui lar ₽ “ 'Г°ГІ'е ” Ш W*b- >>• Л s,oiu*ie P ntlLu cea de-a doua problema o constituie o proiectare diver- itiua [ ], combinata cu tehnicile de toleranță la defectări, cînd N (doi, trei specialiști proiectează independent același circuit pornind de la funcțiile de intrare/ ieșire ale acestuia Specificarea acestor funcții trebuie astfel lealizata incit sa minimizeze probabilitatea în conformitate cu care cele N realizări independente să aibă aceleași erori reziduale Toate cele A realizări pot conține erori, însă în timpul operării concurente, erorile vor fi detectate dacă simptomele lor nu sînt identice și vor fi corectate dacă vor fi găsite o majoritate de realizări bune la stimulii respectivi Deci, principalul țel al unei proiectări diversitare — în vederea tolerării erorilor de proiectare — este de a asigura o probabilitate foarte mare că erorile de proiectare reziduale ale sistemului sînt independente, iar simptomele lor nu sînt identice la ieșirea sistemului în acest mod se poate rezolva problem a erorilor de proiectare ale circuitelor VLSI și a verificării acestor circuite, care, din ce în ce mai complexe, nu mai permit o verificare completă a funcționării lor Mai mult, mijloacele automate de proiectare și verificare pot fi ele însele supuse unor erori de proiec-tare Totodată în condițiile creșterii complexității circuitelor integrate, costul generării testelor devine foarte ridicat, ceea ce a făcut să crească interesul pentru proiectarea circuitelor autotestabile Odată cu dezvoltarea si extinderea sistemelor de calcul au sporit diti-cultătile problemelor de rezolvat și de aici cerințele pentru mascarea datelor - care nu mai pot fi controlate in totalitate -au crescut mar mult “ ^Referitor la cercetările viitoare privind “ pen,ru partea de “ a SiS‘ ^ісаге/ХХіпі^^ХшіеіаІе in vederea implementării toleranței la defectări; limitat de conexiuni ex- — testarea circuitelor VLbL terne; , A „inhil încluzînd software-ul și hard- — modelarea sisteme^‘)r £orman*țeior toleranței la defectări, ware-ul acestora pentru eva ua sistemele de calcul ale anilor Diferite studii de mare de defecte fizice sau de- vor avea ce'snbiimază Importanța și oportunitatea unor cer- domeniu " В I В Г GR Л I- I к AI EARN, G K ; DISHON V , SN FVF I V, R N , Design Іпогашп* я//Ле / ЛУл> N, T ; FF, Г А Fault Тгігімнсо, Prentke Hali Internațional,, New Jer»ry tML X XVlilENIS A ; GU IFY C G ; МЛГІЦ-R, F P ; RENNEI I) A ; ROHR J V RODIN D K , І he STAR Conifiitri : Ан Investi ga li oh of Ihe Theory and Pruhe fi Fat*E ГѵігтпІ Сош/к/ri Destgn, IEEE Trans on Computer», C //, AVlilENlS, A , Design DimsiVr — The Challenge of the Eighties, Digest of paj pers, FTCS- Santa Monica, AV lEN S A Fault Tolerant Systems, IEEE Trans on ( omputers, C- *\ J t BACIVAKOF ANGFL CЛ-ВЕАTR CE Sisteme digitale tolerante la defectări, Teză dfc doctorat, Institutul Politehnic București, * HALI ARI), D R , Designing Fai: — Sa/e Micro fioeessor Systems, Electronics, BRENNAN J F , The Seif Refiairing Computer, Research Reports, , !, IBM, CARTER W C ; BOURICIVS XV G , A Stirvey of l'ault Tolerant Architecture und EmJtfaftON, Computer, , CĂTVNEANU, V M ; BAC VAROF, I C , Fiabilitatea sistemelor de telecomus-: i L Militară, București, CATVNEANV, V M ; MIHALACHE, A Bazele teoretice ale fiabilității, Ed Асл<> : R S România, București, CHAXG, H Y ; SMITH G W ; XVALFORD, R B , LA MP: Sys/rm Drscn/nbi, Зе И Syst Tech Journal, , , , p — CHANG, H Y ; MANNTNG, E G ; METZE, G , JWÎ Diagnosis of Digital Sy eterna - COSTES, A ; LANDRAVLT, C ; I APRIE, J C , ReliabBity and Availability V /rr Matntained Systems Featuring Hardware FaiIureș and Design Faults» IEEE Irc’ s on Сотри te rs, C- , , p — FREEMAN, H ; METZE, G , Fault Tolerant Comfutcrs Vsing „Boited Logic" " Tecknîques, IEEE Trans on Computers, C- , , GEFFROY, J C ; COURVOISTER, M O«-Z uu Tc^iing and Securily of a D SysUm fer Process Contrei, CompCon, Washington, U S A , * HAMMING, K W , Error Dcte-cling and Error Correcting, Bell Syst Tech Jourvx o $ KJME, C R , Fault-Tcl frânt Comfuting, An ntroduction aiul a Pers fictive, IEEE Irars on Computere, , , , NELSOX, G W , OPTS- On-J ine Pniphcral Test System, Proc \FIVS FFCC Po utcis, C , Ц, | l, D P , Л/и# : Behabiliiy MiKieliHg and CtaccM PegrOiiaii^h INFOTECH, London, ST FFLER, J J ; НЕСИТ, И , Ле Fault Tolaraui Sfacc Horn Computer, Digest papers FTCb- , Раги, z t \u\t и \ui S ni Sy» />H Wt IVVll X»: UOI Г ІнМімгМ /*Ял /Ікг Шнмг Difțilol ГгіПмд, (ouipub*r, / UI XI TRWW X A* { '!*«■/ ht у/<>г Х’гі^ж ; t%’ г Ж Ш VXNIî» SSj VAXG, SA' , Mnhiph FiîwU Ihl^cfintt f^r CtunhiHalhnif f ogb: ( ir ^ i, IKV K Traus, оъ K’muțHib'is , V,U«t Л, УѴ *Al>KU» IV; ЧМ АК R , Tw» ’ - CAPITOLUL STRUCTURI REDUNDANTE PENTRU IMPLEMENTAREA TOLERANȚEI LA DEFECTĂRI ÎN SISTEMELE HARDWARE CONSIDERAȚII ASUPRA UTILIZĂRII REDONDANȚEI PROTECTIVE ÎN SISTEME Redondanță — definită ca fiind utilizarea într-un sistem a mai multor elemente decît este necesar pentru îndeplinirea funcțiilor cerute acestuia, astfel îneît sistemul să funcționeze satisfăcător chiar în prezența unor defecte — constituie metoda de bază pentru realizarea sistemelor tolerante la defectări Elementele suplimentare sînt fie elemente hardware, cînd sc obține o redondanță structurală de tip hardware, fie elemente software, obțin îndu-se o redondanță structurală de tip software sau un timp suplimentar de operare — cînd se obține o redondanță de timp în acest capitol se vor face referiri la structurile redondante de tip hardware în figura este prezentată o clasificare a diferitelor structuri redondante ce pot fi aplicate sistemelor hardware electronice în paragraful următor vor fi prezentate pe larg principalele structuri redondante de tip hardware folosite în vederea protecției semnalelor de ieșire ale sistemului la apariția unui defect Lucrările publicate pe plan mondial referitoare la utilizarea redondanței în sisteme se ocupă — în principal — de descrierea diferitelor tipuri de structuri redondante și modelarea matematică a caracteristicilor acestora [ ], [ ], [ ], [ ], [ ], [ ], [ ] etc Analiza acestor lucrări evidențiază următoarele: ( ) Teoria redondanței utilizează cîteva „tcoreme-limită" [ ], oare ghidează proiectarea sistemelor cu structură redondanță; dintre acestea se menționează următoarele: • Redondanța este o metodă comodă de creștere a fiabilității sistemelor dacă defectările clementelor care compun sistemul sînt evenimente independente De altfel, în mod uzual calculele de fiabilitate previzională a sistemelor sc bazează pc ipoteza — simplificatoare — a independenței defectărilor elementelor acestora; aceasta se datorește atît facilităților de prelucrare matematica, cit și lipsei unor date de fiabilitate valide privind dependența fectărilor ‘Jupă reacția la aparii in defectării sistemului structură statică redondanță proiectivă structură dinamică redondanță proiectivă structură hibridă redondanță proiectivă Clasificarea structurilor redondante implementa-bile sistemelor electronice după solicitările elementelor unui sistem cu structură redondanță, • Probabilitatea de c c va fi identic cu acestea; dacă semnalul A's — de exemplu este incorect deci E , ^ semnalul de ieșire Eo va lua valoarea majori- tății adică valoarea corespunzătoare lui Ei și En în acest mod struc ura redondanță W mafchcazătdifcctarca unuia dintre modulele funcționale A £«, semnalul а) bl Fig, Implementarea structurilor redondante cu logică majoritară: a — structură redondantă logică majoritară de tip din (TMR); b — — sistemul neredondant partiționat în module funcționale; c— structură redondantă NMR aplicată sistemului b Schema TMR nu poate însă corecta două erori de același tip, decît dacă gradul redondanței va crește în § se va arăta că o astfel de schemă poate masca două tipuri de defectări: blocarea în „ " a unui modul și blocarea în „ a altuia dintre cele trei module funcționale identice Deci, structura TMR asigură buna funcționare a sistemului, atunci cînd sînt în stare de bună funcționare toate cele trei module A sau oricare grupare de două module, în fiecare caz în parte trebuind să funcționeze corect și voterul T\ Generalizîndu-se această observație pentru structura redondantă logică majoritară de tip n din н — , structura NMR, se precizează că pentru buna funcționare a sistemului trebuie asigurată buna funcționare a oricărei combinații de module cuprinsă între n și n— , celelalte module identice putînd fi defecte; evident, pentru fiecare din aceste combinații este necesară buna funcționare a modulului de decizie Deci, pentru ca structura analizată să-și atingă scopul de a tolera un număr prestabilit de defectări trebuie utilizat un sistem de decizie cu nivel de fiabilitate înalt Cu aceste considerente se poate scrie expresia funcției de fiabilitate (probabilității de bună funcționare) a unui sistem cu structură redondantă logică majoritară de tip n din ;i— : n — t în care R(t) este funcția de fiabilitate a unui modul funcțional, iar R r(/) -* funcția de fiabilitate a voterului Se poate introduce o multiplicare a voterelor, rezultînd o structură redondantă logică majoritară în configurație multiplă, cu performanțe de fiabilitate mai bune în figura se prezintă o structură redondantă logică majoritară de tip din în configurație multiplă Structura se poate aplica global sistemului sau la nivel de subsisteme/ module funcționale în figura a s-a considerat pentru exemplificare o rețea neredondantă divizată în module funcționale Modulele sînt triplate și conectate la un sistem de decizie triplat, rezult iud versiunea TMR a rețelei Normal liniile de intrare și ieșire pentru un modul reprezintă un bus Fig Structura redondantă logică majoritara de tip din , în configurație ' Considerîndu-se o blocare în „ " a intrării uneia dintre porțile Gn, ••• Gl , defectarea este mascată la nivelul primei porți ȘI cablate în mod analog se corectează blocarea in „ “ a ieșirii uneia dintre porțile Gn, ,G In schimb, blocarea în „ " a ieșirii uneia dintre porți, este corectată de poarta ȘI cablată de la nivelul următor Ambele tipuri de scheme cu logică prin cablare protejează circuitul nu numai de defectări de tipul „blocare", dar și de defectări tranzitorii ale porților logice Fiecare dintre cele două metode poate fi extinsă și pentru cazul defectărilor multiple Mascarea unui număr de n defectări care apar într-o zonă, limitată a rețelei poate fi realizată prin „punctarea" a n - porți redondante pentru a forma o ieșire, procedeul repet îndu-se iterativ astfel îneît să se obțină « - ieșiri La nivelul următor fiecare din cele n - ieșiri se conectează corespunzător la fiecare grup de porți redondante DNA DNA DNA DNA DN/a DMA DNA DNA DNA DNA DNA DNA DNA DNA - DNA O V a У Ув У» УіО У Уі Уіз Ѵі Уі Ум DNA Fig Implementarea funcției v cu o ret ea de porți logico cu structură redondanță cu logică prin cablare: a — sinteza funcției v> cu o rețea da porți logice; b — sinteza funcției V| cu o rețea ele porți logice cu structuri redondanță cu logică &in cablare; » V U Fig Rețea de porți logice NAND cu structură redondantă cu locică prin cablare Mascarea defectărilor multiple cu o tehnică redondantă cu logică prin cablare arc cîtcva avantaje față dc redondanța cu logică cuadruplă sau logică majoritară Mai întîi, numărul de interconectări între niveluri este mai mic la o rețea redondantă cu logică prin cablare decît la celelalte două tipuri de structuri aplicabile circuitelor logice în al doilea rînd, schimbarea ordinului redondanței se poate realiza cu ușurință, adăugîndu-se o poartă pe grupare DNA (DNO) sau o grupare identică pentru a crește gradul de protecție a sistemului De menționat însă că, în cazul mascării defectărilor multiple din sistem, apare o limitare practică dată de factorul „fan-out" al porților utilizate în sfîrșit, un avantaj important al structurilor cu logică prin cablare în mascarea erorilor multiple constă în utilizarea numai de porți simple, de tip NAND și NOR Pentru structurile redondante cu logică maj ori tară de tip NMR apare necesitatea utilizării unor votere complicate, care ridică ele însele probleme de fiabilitate în concluzie, imul dintre efectele conectării în comun a ieșirilor porților logice constă în reducerea numărului acestora Acest tip de conexiune constituie baza pentru o structură redondantă interesantă ale cărei avantaje, menționate anterior, evidențiază că logica prin cablare poate fi utilizată în realizarea de sisteme tolerante la defectări, construite cu porți logice STRUCTURA REDONDANȚA PRIN CODARE Aplicîndu-se pentru codificarea stărilor unui automat un cod redon-dant — cu biți de informație și control — automatul va avea o structură redondantă, numită în cele ce urmează redondanfd prin codare Implementarea redondanței prin codare unui sistem nu necesită, spre deosebire de celelalte tipuri de redondanță, multiplicarea completă a componentelor acestuia, dar implică utilizarea unor elemente de circuit adițio nale# care permit reconstituirea semnalului de ieșire corect in prezenta unor «defecte ale elementelor sistemului Desigur, implementarea redondanței prin multiplicarea unităților funcționale de bază — fie că este vorba de o structură redondantă generală sau logica^ majoritară — este mai simplă și realizează un cîștig apreciabil al fiabilității Există însă o categorie de coduri decodabile printr-o tehnică de logică majoritară — numite coduri ortogonale [ ] — care soluționează problema implementării redondanței prin codare sistemelor, astfel îneît aceasta să aducă un cîștig al fiabilității — raportat la creșterea complexității sistemului — mai important decît aplicarea unei structuri redondante realizată printr-o tehnică de multiplicare Se consideră un automat finit de tip Mealy (fig ); M constă dintr-un număr de elemente de memorie, iar și E sînt circuite combina-ționale, care realizează setul de funcții booleene у și z La timpul t elementul S al sistemului generează starea următoare Z (t ) = Z'(/), ca o funcție de vectorul de intrare, X(/), și vectorul-stare prezentă al automatului, Z(Z) Funcția de ieșire, Y(/), este generată de circuitul combinațional E ca o funcție de vectorul semnal de intrare, X(/), și de vectorul de stare, Z(/) Ecuațiile ieșirii automatului sînt de forma: ( - ) iar ecuațiile stării următoare — de forma: Z)e — (Xy, % >•••> %r> Z %k)i ( ) ,xr sînt semnalele de intrare, z , ,zk - variabilele de stare — semnalele de ieșire ale automatului unde xlt x > prezentă, iar yY, y , ,ym Modelul anterior evidențiază cele * stări interne posibile ale automatului Introducerea unor stări redondante în vederea mascării unor defectări hardware din structura automatului se va face utilizîndu-sc — pentru codarea stărilor interne — un cod redondant corector de erori, ceea ce va conduce la creșterea numărului variabilelor de stare z și, evident, a numărului celulelor de memorie corespunzătoare din structura antonia- , Structura unui automat finit după, modelul Mealy — C tului Dacă numărul variabilelor de stare crește de la k la», atunci numărul dc'stări interne va crește de la * la " , astfel incit fiecărei stări a sistemului neredondant îi sînt alocate "~A stări Atunci cînd sc va defecta un element hardware din subsistemele care realizează una dintre funcțiile de stare sistemul astfel construit va masca defectul dacă, dintre cele "~* stări alocate, sînt stări neafectate de acest defect Se consideră o variabilă discretă, x, definită prin trei variabile binare, л'і» *s> л'з! utilizîndu-se o decizie majoritară simplă, este admisă o eroare la una dintre cele trei variabile pentru ca starea variabilei x să fie corectă Astfel, orice variabilă discretă poate fi reprezentată cu un cod de forma (n, Л), unde n reprezintă numărul total al biților, iar k — numărul biților de informație în exemplul considerat n == și k = Codul ales corectează o eroare în general, un cod de tipul (w, k) corectează l erori, l sau mai multe Considerîndu-se modulul defect (fig ), cu acest sistem de comutație, poziția a voterului este ocupată de modulul , poziția — de modulul , iar poziția — dc modulul Dacă în această configurație se defectează modulul — de exemplu —, atunci pozițile , și ale voterului vor fi ocupate respectiv dc modulele , și Rețeaua de interconectare considerata în fig realizează o conectare logică a modulelor prin intermediul rețelei de porți ȘI (fig ) Atunci cînd apare o nccoincidență între ieșirea unui modul și ieșirea Ci^uUul ,basculant biștabil de poziție, CBBc — care poate fi — este adus în starea " logic (fig a) Necoincidențele realizat cu circuite basculante bistabile de tip JK "P' logic, altfel el rămîne în starea „ j sînt astfel recepționate dc îndată ce au loc, iar modulele defecte sînt înlo* cuite intr-un ciclu de funcționare al generatorului de tact al sistemului, menta?’b? m odulclc de rezervă, în așteptare, să nu fie aii- X a ui loiic :' "T? neîncărcate electric au pe liniile de ieșire pX hSrmXi’nn\ C Uh ‘ Va COnecta modulul M €- Уі*~ ЭМ— Ieșiri spre celula următoare Ieșiri spre voter C$ = Ci = C — -> Г = Ct y\~l + Ct ( ) pentru celulele din sistemul redondant cu voter cu logică de prag, și ( ) o o o pejittu celulele din sistemul rcdondant cu voter cu logică majoritară Intrările C( sînt „ " cînd se detectează o defectare a modulului Mt și „ " cînd modulele Af, sînt în stare de funcționare Pe baza ecuațiilor ( ) și ( ) se pot sintetiza cele două celule tipice prezentate in figura Structura prezentată poate fi simplificată pentru celulele dc la marginea lanțului, datorită faptului că acestea nu primesc informații de la celula din stingă și, respectiv, nu transmit informații la dreapta Astfel, pentru celula corespunzătoare modulului Mr, în tehnica cu voter de prag, rezultă: У = ' ° = o, iar ecuațiile logice care sintetizează structura celulei sînt: Ai = G; > = ; ( ) u = De asemenea, celula este simplificată, în sensul că ea nu va primi niciodată informația că sînt în funcțiune sau module, ci maximum un modul Pentru celula nu se sintetizează funcția de stare următoare, dacă nu există celule la dreapta acesteia în figura se dă lanțul celor cinci celule, cu simplificările amintite Soluția aleasă introduce —- ca, de altfel, în cazul tuturor rețelelor iterative — un timp de propagare a informației de la celula din stînga la cea din extrema dreaptă în anumite cazuri, acest timp este prohibitiv de J ie» , Schemele oloctrico alo celulelor C : colul, C pentru o tehnica de decide OU logica do P'Y 'rlța afelU,a C ’ ‘ehnl Daca celula BSRj este în starea logică „ ", linia de informație este conectata la linia de bus superioară, iar atunci cînd celula se află în starea logica „ ", linia este conectată la linia de bus următoare In defect a mulai de registre BSR poate conduce la defectarea întregului sistem O soluție pentru evitarea acestui neajuns este aplicarea unei redonc anțe pen iu registrele BSR Astfel, în figura cele două registre BSR sînt triplate [ ], iar fiecare comutator al schemei precedente este înlocuit de un aian-Л л a Mii ■trîȘ’- votare din trei posibilități, Comutator bus-modul Linie Linie Comutator bus emițător modul-bus a) Linie receptor Detecție defectare b) Detecție defectare Stări Linie bus neconectata Si S B B Bl JF*g , Structură redondantă dc comutație aplicată bus-urilor de date: « — schema electrică a comutatoarelor; b — celule bistabile pentru memorarea stării bus-uhii; c — stările bus-urilor în sistemul redondant O analiză calitativă a celor două scheme arată că, pentru cea de-a doua schemă, complexitatea structurii, ca și cerința de fan-in/fan-out au crescut de aproximativ trei ori, dar și caracteristicile de fiabilitate s-au îmbunătățit > APLICAREA STRUCTURII REDONDANTE IN CAZUL A l LINII DE INFORMAȚIE I Schemele de mai sus pot fi generalizate pentru cazul a l linii de infor- mație și k rezerve Atunci cînd k > , devine necesar ca registrul BSR să poată evidenția mai mult de un bit Fie b numărul de circuite basculante bistabile ale fiecărui registru Dacă BSR trebuie să evidențieze Л -|- stări posibile ale liniei dc informație, atunci evident: b > log (/e + ) ( ) Următoarea problema în proiectarea unui astfel de sistem este stabilirea modulului în care aceste k + stări sînt codate, utilizîndu-se cei b biți disponibili ai registrului BSR Aceasta afectează atît complexitatea, cît și fiabilitatea sistemului Atunci cînd numărul rezervelor este mic (k ))'Г ( ) fwQ I ЛС | аЦР Evidențierea, unei itlipri fee ț hi ni a funcției logica majoritara: a • generator de impulsuri cu slriu'hirA irdomhintA lofjlcâ nia» jorit irA de lip din ; h — seninului dc ieșire eronat Problema se poate generaliza in cazul unei structuri redondante de tip logică majoritară n din / — în acest caz intervalul dc timp dc insuficiență a funcției logică majoritară este: M > • • • > >•••> ^A M țM j , • • •, /д ; ДГ Л—j) * ( ) unde /дМгМу este întîrzierea tranzițiilor modulelor generatoare M și >v Dacă răspunsul voterului este dat cu o întîrzierc tD după prima tranziție și dacă t» satisface inegalitățile: t^max ; (c) oscilația este obținută în bucla formată de voter și circuitul basculant bistabil B, care memorează complementul funcției majoritare la fiecare tranziție a semnalului de tact generat; (d) CI este un circuit de întîrzierc care realizează întîrzierea semnalului pe bucla de reacție cu timpul t Astfel; semiperioada semnalului generat este: - h + T De aici se obține, în conformitate cu ( / ), relația de proiectare pentru mărimea de timp t, " ‘А ’ Fig Schema ehctrieft a unui geucialor de impulsuri eu siruchuA redomkuitA logieA Diajoriturn eu Hineronixaiea semnalelor ge-nerate ircuitul inonostabil MONO sincronizării funcționării modulelor multi- plicate ale unei structuri redondante bleniă importantă în implementarea sisteme în general, această sine cronizare extern, care determină mației dc la modulele active Generatorul de impulsuri p ■ •, nta mai st:> asigură pe calea de reacție o votare sincrona a semnalelor gene aiC KjszXO -MO* toatele notații: k al fiabilității; I costului; E * u,ili eaIă numai ul subsistemelor identice din punct de vedere indicii ds îmbunătățire a fiabilității; Г - indicele indicatorul global al eficienței Pențiu f dedusă ținîndu-se seama de expresia ( ); • Indicele de îmbunătățire a fiabilității sistemului, exprimat ca raport al probabilităților de defectare pentru sistemele cu structură neredondantă, și, respectiv cu structură redondanță, definit cu relația: j Fșn —Rsn l~^n ) F ?SR i—^SR — • • Deoarece în expresiile lui IR și ZFapare k, înseamnă că indicii respect h i sînt dependenți de mărimea sistemului, deci contravin condiției (a) enunțată mai sus; • Indicele de îmbunătățire a fiabilității sistemului, exprimat ca raportul timpilor medii de bună funcționare pentru sistemele cu structură redondanță și, respectiv, cu structură neredondantă, definit cu relația T ■ ■ > J m » unde m este media timpului de bună funcționare Deoarece •••••WRrRRR W'WW W • IU» In,, li ( un ■ I l w» w •„» WR HUI lli l{f> lll ( — |«| j y pentru /ги, Fr utru cazul utilizării ori-tegrate pe scară redusă, sau consumu ‘ • » este reprezentativ cărei tehnologii do mltoru clrcutte ut tuU ul Sistemului construit „ consideră costul, greutatea sau noi ircuite integrate pe scară taiga m căzui » ( ті caaul utiiiz;\ni or onstimu nale se conectează în sistemul redundant în același nuni ca iu cazul sistemului neredondant (v, § , ) Voterul poate li sintetizat in mal multe moduri; in figura este pve vntat un astfel de circuit realizat cu porți NAND Modelul uzual de evaluare a bunei funcționări a unui sistem cu structură redondantă eu logică nut-joritată, adoptat în majoritatea Iu-crăcilor de specialitate, presupune că atunci cînd are loc un defect intr-unui din cele trei module func- ționale ale structurii, iar celelalte două funcționează corect, ieșirea sistemului de decizie va fi corectă, eu condiția ca însuși acest sistem să fie in stare de bună funcționare Analiza funcționării unei astfel de structuri, utilizată în cazul circuitelor logice, arată că, dacă la una dintre ieșirile celor trei module ale structurii apare semnal logic -t, iar lă o altă ieșire apare semnalul logic , structura redondantă va masca ambele tipuri dc defectări; dacă însă cele două module prezintă defectări de același tip, acestea numai pot fi mascate la ieșirea sistemului O analiză a funcționării circuitului care formează sistemul de decizie arată că, atunci cînd intrările sale sînt identice, acesta poate tolera anumite tipuri de defectări; de exemplu, o blocare în „ " a porții este msacată cu condiția ca semnalele de intrare, Уѵ Уа și У-), să fie identice Această redondanța funcțională a circuitului de decizie trebuie să fie luată în considerație pentru evaluarea fiabilității întregului sistem, mai ales pentru o comparație realistă a diferitelor tehnici dc redondanța A l Determinarea indicilor do creștere ti fiabihlâfu, față de Fr cit ar fi fost contribuția acestuia dacă se evalua probabilitatea de defectare cu modelul structural de fiabilitate Se evidențiază astfel caracterul mai pesimist al evaluărilor dc fiabilitate folosindu -se modelul structural • Indicele a de creștere a fiabilității are expresia: \ aloarca funcției de repartiție a timpului de funcționare pentru unitatea neredondantă, care maximizează indicele cc este: iar amax va lua valoarea: Tabelul TĂIETURI MINIMALE PENTRU STRUCTURA REDONDANȚĂ LOGICĂ MAJORITARĂ DIN \ Modul funcțional/ X poartă Mi M g Probabilitatea de apariție Nr X‘ Joncțiune de X tranzistor Л Л Л h Л Ji J Л oraine X al \ Mod de tăieturii X defectare minimale X • r s G s • G s G s G S G s G S G S s G Observ а ț ie Desigur, puteau fi luate in considerați»' mai multe mulțimi de defectări, in care caz valorile indicate dc relațiile ( ) ; ( , ) se obțineau cu acuratețe mai mare; dai jtentrii o primă analiza reali ată in vederea comparării mai multor structuri redundante, aceste expresii oferă suficientă informație ’• Deoarece in această structură redundantă modulele neredondante sini triplate- intr-un modul neredondant sînt un număr de • ‘ * porțî echivalente, iar circuitul voleiului conține patru porți indicele de cost ei, va fi dat de relația: • Indicele r se obține considerindu-se că in circuitul voleiului sînt nouă intrări și echivalentul de intrări în porțile modulului nete* dondăni analizat: - Г, ; ? \ ( ) • Pentru o structură redondantă aplicată la nivelul optimal stabilit anterior, acești indici vor avea forma: ^P* I > ( IC) opt - = -b -î ( ) • Atunci cînd ее ia în considerație mărimea numărului de porți ale sistemului datorită aplicării redondanței, indicele eficiență, f, are expresia: Dacă se ține seama de creșterea numărului de intrări în sistem prin aplicarea redondanței, indicele eficiență, devine: (J?Î> - >'») / , , , , T a » Hnl PERFORMANȚELE OPTIMALE ALE STRUCTURII REDONDANTE LOGICĂ MAJORITARĂ DE TIP DIN CALCULATE CU MODELUL MODURILOR DE DEFECTARE Ю~‘ >T Mi /pt , , , , , , S , , , , , l , , , , - - - -» -‘ a • tn-l « Î n a , , , , , , , , , , , , , , , , , , , , , , , £ , , , , , , , , , , , , Tabelul PERFORMANȚE ALE STRUCTURII REDONDANTE LOGICĂ MAJORITARĂ DE TIP DIN CALCULATE CU MODELUI MODURILOR DE DEFECTARE Fn % • FT = -» • -* ~s - io-» - • -® -a i - -» - » a , , , , , , , • , , , ^cp , , , , , , , , , , , , , , , , , , , , Ep , , , , , , , , , , , E ^ jd ,iffl , w\\ sa maximă rdar atunci bînd /,■ i ni i l Ii HI "’ șo» 'n;\y de ori Aceasta observație « А rit oh sfaucM'iibni tura redundanta -sv j tel o creștere importanta a iiabili~ Ю"^ "^ ю~^ O-^ Ши »rin aplicarea redondanței Лтеп ІіД^тІеВі ^^ тЙе( іпймяапііг c^roriț li sg impppumtează redon-danța уагіадиѵ in, funcț iejde ,t impui alocat misiunii'; CU cit timpul misiupii este ®aai imărescn atît dimensiunile acesțQr module trebuie să Ду mar inari domparatiV cutcazul stabilirii nive-luluî optimal îtimpi micii ai misiunii;■icîndise utilizează componente а П£ кэвЬ isirfa •— isioanoa otaa ousu w> э Шпиіхзпозтэіш £j isilnsaJI mMpf? к! К) ІПЭШБГЯБІВ Î Ă ItotdțîiO^ntrii «{rvetuta rlidortdaiita logică majoritară implementată la nivel nciptimal: / k^ /?iT^ r ;;dri-)b'^H -; -» kr ~ > î (II І IR І ИО Г ШП К 'Й ~ э:ж KXbOfiiw qu Analiza structurii redondante Iggj-^^n^jQ^țar^s^nfilă dc ordinați I Prin iap&area rezultătcldr'obținut'e'dii §■ A )iSșb obțin următoarele ecuații ypcntrm$aiiul im cĂremrdiĂul' геНогі^зй^ЙІ^Й^ё' : У * / — c Г J l Й Ш ПГ? i) C l t A ( ) i :w i ( ) ( ) ( ) ( n U )'/M І г I ' Ьл Ѵ'’ШгіЙГОсМЙ> ’I - ) T ' I ( ) ‘( ) Л în tabelul sînt date rezultatele numerice obținute in cazul » - II; Fr ; , «, și Mr ^ Rezultatele numerice obținute aici reliefează că valoarea maximă a indicelui a nu mai crește odată cu mărirea gradului redondanței și că ace ta este mai mic pentru n — I decit pentru » - - , din cauza creș- terii complexității voterului Rezultă că nu este necesară creșterea gradului redundanței cînd se urmărește un indice a„axde valoare mare; de acrea, in practică este recomandabilă utilizarea structurii redondante logică majo titară de tip din , aceasta asigurind mărirea apreciabilă a fiabilității B» Determinarea indicilor de creștere a fiabilității, dc cost și eficiența pentru structura redondantă logică majoritară multiplă Această structură redondantă >' este o dezvoltare a structurii redondante logică majoritară simplă în sensul introducerii unui număr de votere redondante (fig ); pentru structura redondantă logică majoritară de tip din se introduc trei votere, ceea ce înseamnă o ieșire triplată De aceea un subsistem cu această structură impune și celorlalte subsisteme cu care este conectat chiar dacă au sau nu structură redou- cântă — intrări triplate Rezultă că interconexiunile unui sistem redundant de acest tip urmează același aranjament ca la sistemul redundant, cu excepția faptului că ele sînt triplate В Determinarea indicilor de îmbunătățire a fiabilității, de cost și с'/іаѴм|й, utilizindit-se modelul general de- evaluare a fiabilității Pentru dezvoltările ulterioare sc consideră un modul funcțional cu o singură intrare, căruia i se aplică această structură redondantă, ceea ce implică o intrare triplată pentru sistemul redondant Analizîndu-sc funcționarea schemei, se observa că apariția unui defect la o intrare precum și defectarea unui modul care nu corespunde tripletului vor conduce la defee t - rea schemei Un defect la o intrare a tripletului se datorează - în prințul riad — defectării unui voter dc la subsistemul anterior celui considerat in structura sistemului • Pentru o astfel de structură redondantă, mulțimea tăieturilor mi r imale este dată in tabelul T а ь t , , , , r i * *' țx s H Ж- Ш ззЛ tHuliiți* r i t r s a*s’ ( ) în ipoteza Z' s /'r/ , ecuația ( ) devineț: > astfel îneît: ț K /A S ; v \ V A) F a , ( , )• h dc unde se obține: V ( ) ( - ) tîV i U O ( ) R?ționîndu-se în cazul studiului A veault i următoarea expresie pentru indicii de cost ai acestei structuri redondante: iar ч j t ’/Il X t * i f * * * •/ -) С Г / * * , ( } /f I ( ) С tfr f > ІѴЛ * И *•>! f »,; Ll ’ii Lf! r k ■ к t -^«atunci Moind-so,consideră я - -r se detennina cu modelul uzual de evaluare a fiabilității — valorile mi-mence И е 'parametrjloAZ £«Ж i“"SA''Г^ЙЙ,ЖЬК,Л»лР?ЯЙ№ИМЖ®гА£вИ utilizează modelul modurilor de Șfifecta^^t явдвдас fet® J ,”„ / linie °P~ tnne, rn teimenii numărului ae~tranzistbâre' echivalente' np/'nnartă ₽ —- rt' X F г ни = -lQ- „ s в - Л , ■ liil І I - Г- ’p’S Q- • j H — î ! fui» i Г Г r n: iaO * * • v«e ' ! ' f -ilfN’ X CALCVLATE cu моіуМЛч') ijBbdfii boW bit nttl'ilbi'Â'Rt: r- * - Fr ~ te-**; * - Fr ’ Structura miotWantît ainrthueă (de comutat ic) de gi^dtil : — schema structuriij d —• schema electrică a circuitului comutator de activare este f selec- I ■^* £чЯШТЮ кЮ *‘j acdeă^^MUJfâlt la ințtov a») sonmaltiirrăspunșîH-rdo feșttfi/ T tat dintre • semnalele d C U йохіргло eficiența, d^i^tvfc^tSi'XQ^ эЬ efrtshru шйипэігіг эів эІиЬош Snob эіээ эгіліЬ зівээіЧ (»df S яіт) Лч• Se consideră că detecția defectării și comanda comutării sînt perfect fiabile; desigur, aceste ipoteze sînt simplificatoare, iar rezultatele obținute în condițiile respective vor fi mai optimiste decît cele reale ’ *- • în tabelul sînt indicate mulțimea dc tăieturi minimale ale sistemului considerat, precum și probabilitățile de apariție a acestora, rezultînd expresia funcției de repartiție a timpului de funcționare de forma: л' I ♦ G)nsiderindF„, n » iar indice iar ‘^Gî c Ol - Indicele țc este de yaloar & ti amax h ivit»г uhu ЛІці I ріюлі (olt’bom tn» іісик'ій /Э r ■ ' -‘f'dltuHi ?b ( ) ; Г °P flCD fiijCfO • Indicele de cost, Icp, arc expresia: -|~ d 'n> ( ) relație stabilită avîndu-sc în vedere faptul că pentru această structură redondantă modulele funcționale sînt dublate, comutatorul conține trei porți, iar modulul neredondant conține Fn/nT FT porți echivalente • Similar, se poate determina expresia indicelui dc cost, Ici: — + -~I T • ( ) ■e» • Atunci cînd structura redondantă se implementează la nivel optimal, acești indici devin: Iep opt = + пт УF^; ( ) Лі opt = + ( ) • în continuare, rezultatele date de ecuațiile ( ) - - ( ) sînt generalizate pentru cazul în care gradul redondanței este n — (sînt n module funcționale identice, din care n — rezerve) Comutatorul se consideră cu structură identică (fig J), cu excepția numărului de porți la intrare, •egal cu n Analizîndu-se mulțimea de defectări minimale posibile, rezultă: Fr = F% + , n FT, ( ) de unde se obțin: a = -; ( ) •F” + , n FT CP >—l)/f* n C Rezultate numerice ° Structura redondantă aplicată la nivel optimal Cu J^ice ( ), ( ) și ( ) se obțin pentru I* „ oPt > ащах, ДР, Ajitzultate prezentate în tabelul , pentru cîteva valori ale lui FT i a b ciul ') l’ERI'ORMANȚE OPTIMALE ALE STRUCTURII REDONDANTE DINAMICĂ (DE COMUTAȚIE) CU CRAPUL REDONDANȚEI r Analizîndu-se aceste date, se observă că dimensiunile modulului op-tim căruia i se aplică această structură redondanță variază dc la tranzistoare echivalente, atunci cînd FT ~ ' , la tranzistoare echivalente, cînd FT = O‘G Cu relațiile ( ) -? ( ), pentru n = și, respectiv, gradul redondanței este doi sau trei; pentru FnOpt, anm, Zc ; t valorile numerice obținute sînt cuprinse în tabelul ; din tabel rezultă că indicele crește odată cu gradul redondanței Tabel u PERFORMANTE OPTIMALE ALE STRUCTURII REDONDANTE DINAMICE (DE COMUTAȚIE) CU r > Fj» r = t - IO”* “ ~ ~ - ~ io~ Î - F n opt , • IO" , • IO- , • IO- • IO’ , • IO’ , • a • ~* • Ю-* ^max , , cp opt , , , , , ci opt , , , p opt , , , , , , opt , , , , , , -* i ° Structura redondanță implementată la un nivel diferit de cel optimal, în tabelul sînt prezentate cîteva valori numerice ale parametrilor a, I și E pentru nT = și gradul redondanței r ~ , evidențiindu-se creșterea fiabilității sistemului cu această structură redondanță pentru diferite niveluri de implementare a redondanței Se remaieă faptul că maximul indicelui a coincide cu maximul indicelui de eficiența ° în figura este reprezentată variația indicelui aul»x cuFr, atunci cînd nivelul de implementare a redondanței este cel optimal Creșterea indicelui a odată cu mărirea gradului redondanței nu este spectaculoasa, T aMi I ft’lk'ilSH rEIUWM'ANTEІЛІЕЕІіШИ/ОѴШІOTMXJNDAWIК IMHAMUT lh((p,IÎ COMUTAW) СЛ'рл-г |(/ > , к Л му f ІНи» »•- V Q ’ » r —■ ІЙ»— t •** ;, , M vi ^ , , ( , *>/ ЧД , >• V i ' s , , , , Ki VOJ ' ѴЛѴ w ,? , U' F c\ ■ , i fc - > > Bl Ій KA • «v> и«ммиінш> Э£ ilq^^c * v Din:;nepite^eMiareâ) grăfi ă ,a oîariațiși іда ^РИ# ЙРЯ*с^г£ -iPl figura , rezultă că atunci cînd ] f * " I Fig) ' '^ JTiullAft & і)ах mică Ide comutaiie): > - •» ■ : €-ш ч ~’ ’Ч ; ~ )IC ? Цт ~p î - dc îmbt nătăfire a li abilității jicntXu structura wdohdlWtfi diira m /Ил ♦ РЛИ ii -n эі; v! a D cu e lăr l' ato tcă p nntru uiceast-ă stime Ițiră r cdpn(lanță »lHVeJhil «sptimltl tda dimensionare a partiționăriiiisistexnul uii; înșotederea'fapl tcării radpn danțci mste •cel corespuni ? s rninoq ,ămit m d т отпаттР іціічч! П! г* л s-, і din э —• cea mai utilizata pentru implementarea tolerantei Ia defectări m sistemele digitale — тахгтш гпагсеігЛ а ■o valoare numerică mai rr),ică comparativ cu celelalte două striictUri rbddn-dante cti gfătt! de: rbddĂdaiiță'ecHivâ'Ibnt' însă, pentțu-'StHiCtura' edpndantă logică' măj'oritâ'ră multiplă' db ordinul ° din niătâmtilii^ îi corespunde im^'iiăib'e'cib itost іігіі/йРігг M£a>fe (tâbeful; ):decît CereofesțiunZă-tor ‘structurii' rcdoitdânfe ■Idgică iîiăjdritară siriiplăy’ ăstfbl 'incit sb pdate a'pfCbiă că’;sli;u ct’tifâ: ț’edoiid'ăhtă logică: Hlăjorititră multiplă ’iiu 'b§te întot-deaurlă aVariPajoasă âîâ^cădz^ ebsttiltti 'ridicai! ’■ '’-uu' > ■ а ■ - 'Uă aceeași'valoare ă( indicelui -de cost, ѵаГоагЬР^пНісёГиі fără a reprezenta maximul lui â —este mai' itilbă pentru'structura redondantă logică majoritară multiplă, comparativ cu" Valoarea^ indicelui а corespunzător structurii redondante logică-majoritam - șiuiplă, (tabelele; șj ) Dacă factorul dc cost cșțe acela care primează; atunci structura redondantă logică majoritară simplă de ordinul din apare ca fiind aceea care trebuie r >w A»i ; u W » » -а/ИП fără ca acesta) să fie partiționat în module fuiic-țioilale mai , D Jg и аэх o valoare numerică mai mică comparativ cu celelalte două strdctiiri rbddn- к I • * f-ГГ iMTFrr li г i ’ * i w i'TH Л ft'> j J У tv i e ț t? Vâ r • у/ o c r І л л , w âjOTitârâ siriiplăV'-ăstfbrîricît sb pdate • este mai' 'mică pentru 'structura redondantă , căci se obține totodată — iri anumite condiții ■' a fiabilii ații ‘ ' Г ' ’ ♦fii J Л / "* * î * ♦ t f «£> • d *- • ' v J * ' ж ’• * e • Structurii геЦрцЦаійе logica piajoritară ni^Uipla^kțpre spund compa- pentru componentele cotikliluenle'ăle s’îstbmuiui/crcșterca timpului alocat # • • » а «а л » в - Кв ■ Ш л» L a -лм I • A • ■ ' * V M-'U r "i- r* • • • ” к « ma- accca se poate considera că analiza este utila proiectanților dc sisteme de înaltă fiabilitate în func- IMPLEMENTAREA UNEI STRUCTURI REDONDANTE LA NIVEL OPTIMAL ^ paragraful anterior, in urina studiului efectuat în vederea evaluării performanțelor unor structuri redondante, s-a precizat că performanțele acestora sînt dependente atît de nivelul implementării redondanței în sistem, cît și de gradul redondanței O serie de cercetări cu privire la variația costului unui sistem în funcție de alocarea fiabilității [ ], [ ] au evidențiat o descreștere logaritmică a probabilității de defectare a sistemului cu mărirea costului sistemului datorită aplicării redondanței De aceea o problemă importantă care trebuie soluționată în cazul proiectării sistemelor cu structură redondanță este determinarea gradului optim al redondanței, precum și precizarea nivelului Ia care trebuie aplicată redondanță, astfel îneît fiabilitatea sistemului in prezența diferitelor restricții să fie maximizată; aceste restricții pot fi de natură economică, tehnică (greutate, volum etc ) — condiții importante în special pentru aparatura militară portabilă, aparatura instalată la bor-| dul avioanelor sau rachetelor, pentru echipamentele de telecomunicații ■ etc — sau pot avea în vedere mentenanță sistemului etc Problema a fost в abordată, în parte, în paragraful anterior || In [ ] au fost analizați și exemplificați mai mulți algoritmi care I permit optimizarea structurilor redondante în prezența unor restricții li-I niare sau neliniare, algoritmi bazați pe metode euristice, directe, cît și pe metoda multiplicatorilor lui Lagrangc și programării dinamice în cele ce urmează sc propune o metoda dc analiza a unei strategii de implementare a redondanței, care permite — pe baza caracteristicilor cost fiabilitate ale sistemului în cauză — sa sc aleagă o structuia redondant a optimală (§ ), după care (§ ) se analizează nivelul optimal de pai-litionare a unui sistem în vederea implementării redondanței ței unui sistem: , STRATEGII DE IMPLEMENTAREA REDONDANȚEI Sc ridici următoarea proMcnjit importantă a iotplementarii redotnim-tei urnii sistem' pentru a se obține o creștere semnificativa a funcția dc tia-„ dondănii pvi" montare sistemului redundant icsputiv >|Ul p ]t ( »-icel-tsi mad daria sistemul, aplicindu-i se aceiași tip de redundanta șt de acdașl , ad un alt nivel Următoarele două exemple voi apriori a • evidenția importanța unei analize aprind ■ȘX li&Ug "*** *"“* adoptată strategia cea mai diciu оп лл j {tfl ; ihSodqf с ; ■ ■: nebnolpi віігіэн Ій iTtlj ’„/ к AW AW Ăit ш і тел! ws&fWш*» ■-mvM cr м цо ( аіэіаэтігэЬ о ij i ’JC ‘ JJ я» О> Й’$ wrt R ■ <>’і л ягпэі in В F А p • Ă O F r ЯѴ Чіі?П ГШ b ,/i /;nit £ ШЭ£Э Ч obahut) » inărmri p [»>/ }>X Шдшо П l:ig Structuri! Гссіоіісілпtc clшciinicc ^etc coinu^a^iej ііиріетспійіе unui sistcoiz aj— structură redoAthilA Jj ^plwă'rluiiikl ^llîtĂcrltulM'f ', > —(MticWrA tciloftdahis sc арГюК Wătegdlui sts'ăvo в - - $ \ ?,Л: ' ТО ѴТ sistcmul - Sînt situații cînd sistemul (II) лш p ițtn haini decît (I), cu toate că acesta este mai scump Astfel, • ад x-a ад (адз p /,? ,(/) ад -' W) - h\(№( (ада зад + r^r^ ) ( , ) Semnul acestei diferențe se poate studia grafic, analizîndu-sc repre zeixtam funcției: I MO = ( /\a(f) — Ri{t) ~ )/MO = /(/?„(/)) ( ) in planul \\(O, Ka( » intersectat cu zona R^t) > R (t) din acest plan (fig -л і) Se găsesc condițiile pentru care este îndeplinită- inegalitatea R,r (t) > > (t) sau (?) > ( notată O (fig Л ) indică situațiile în care sistemul (II), cu Txwte că este mai scump decît (I), este mai puțin fiabil decît acesta, iar zona ixotată cu Ф ~ în care sistemul (II) este mai fiabil decît sistemul (I) Dreapta ^x(?) = în planul (&х, jRă) este tangentă în punctul de coor-conato (I, ) la curba \x == /(j? ) Apare clar că pentru valori apropiate de I ale funcțiilor de fiabilitate ?x și Z? schema (II) nu este întotdeauna mai fiabilă decît schema (I), ceea ce înseamnă că o structură redondanță de gradul , deci mai ieftină, poate fi în anumite situații mai fiabilă decît o structură redondanță de gradul în continuare se va dezvolta o metodă care permite stabilirea unei strategii optimale de implementare a redondanței Problema creșterii fiabilității sistemului al cărui model structural de I sUbîlitate este reprezentat în figura a poate fi rezolvată în două moduri: idoptînd o altă partiționare a sistemului și aplicîndu-i-se acestuia aceeași ctură redondanță — strategia I (fig ) — fie prin creșterea gradu-redondanței (alocarea unui element de rezervă suplimentar) — strategia fîg c) Alegerea uneia dintre cele două strategii se poate face prin compararea raportului dintre variația funcției de fiabilitate și variația costului în cele ce urmează se presupune că sistemul S are timpul de funcționare repartizat după o lege exponențială în cazul strategiei I de implementare a redondanței (fig ) se consideră sistemul partiționat în două subsisteme, Si și , cu ratele de defectare Xx și Xa, astfel îneît Xj Xa e X,|, ( ) unde Xe este rata de defectare a sistemului neredondant Mărimea subsistemelor S't și S poate fi astfel aleasă îneît Xx să varieze de la X» la , în timp CC x* iciXkl între ^> - = sgl ok ( ) dk dk -ЧЕтед dk + [ pentru \^k; avînd în vedere aceste relații rezultă : /ГрУ^ѴН r>/v\W*\lsl f T>/-i\N/k N d/a + ( - In [£(/) ( — R(t)N,k) ] l ( ) jV, semnul Pentru gradul maxim de partiționate a sistemului, derivatei dRsR^f’k\ este: dk sgn = Sgn{tf( In R(t) + ( - Rțt)) In [Д( ( -~ад]} = Oh , = sgn [ lnlî(/) + ( —> ?(/))ln( — !?(/))] Problema s-a redus astfel la studierea semnului funcției ф(/) = lnlî(/) + ( - ty)) ln( - «(/)) i V * t Se constată cu ușurință că —— > pentru l£?E Trans on Computers,' C- i; , , p ' - ’ : GRI GORESCU, M , Fiabi RAULT, J C ; TULLONE, R , Les nicthodcs probabilistcs de generați™ des sonCSF, , ’ ° GOI DENBERG, L M , Teoriei i rascet unpulsic^iîh ustroistv na Poht'brcvcdnikovih tri-berah, Izd Sviazi, Moăkva, * • r GULLMAN, G , Coduri detectoare și corectoare de erori, Editura Tehnică, București, GUNN NGBERG, P , Fault — tolerancc Implemented by Voting Protocols in Distributed Systems^ Institute of Technology, Uppsala Univ Uppsala, HAMMING, R W , Frror Detecting and Errcr Corcciing, Bell Syst Techn Journal, , е t HAMPEL, D ; WINDER, R O , Threshold Logic, IEEE Spectrum, may, , p — HOPKINS, A , FTMP — A Highly Reliable Faitlt Tolerant Multiprocesor fer Aireraft» Proc of IEEE, , , , p — KLASCHKA, THERESA, A Method for Kedundancy Scheme Performance Asessment^ IEEE Trans on Computers, C- , , , p — KLASCHKA, THERESA, Reliability, Improvement by Redundancy in Elcctrcuie S\ tenis Technical Report, , Royal Aireraft Establishmcnt, LAPRIE, J C , Cn Reliability Prcdiction of Repairable Redundant Digital Structures^ IEEE Trans on Reliability, R- , , LAPRIE, J C ; COSTES, A , Dependability : An Unifying Concept fer Reliable Cern-puting, Proc th Int Symp on Fault-Tolerant Computing, Los Angels, p - LARSEN, R W ; REED, R S , Redundancy by Coding versus Redundancy by Replicalicn^ IEEE Trans on Computers, C- , , M/\THUK, F P ; AVIZIENIS, A , Reliability Analysis and Architeclure of a Itybrul Redundant Digital System Gencralizcd Triple Modular Redundancy zvith Sclf-AV/nus,, AF PS Conf Proc MATHUK, F P , Systems, IEEE Trans on Computers, C- , , , p Mc CONNEL, S ; SIEWIOREK, I) , puters, C- , , , p - E F ; SHANlfON, C E , Reliable Circuits Using ess Celiable AMem J , p - , - Sitrvey of ЛІеЯинІл for L , , , , p — C Reliability and Analysis of U llrartliable :aull- \ Lrout Digital MOORE Franklin Inst MORGAN, D E ; TAYLOR, D J ; CUSTEAU, G » Computer NetWork Reliability and Availability, Computer» , , p MUNTEAN, IL, Sinteza automatelor finite» Editura ‘lehnică, București» Von NEUMAN, J», Probabilistic J agics and the Synt/usis oj Reluible (hgauwm* ікт Unreliable Componente» Annals of Mathcmntical Studios» » ITiucctou Vniv Press p, - v , OKONSKI, E S,, Reliability of Digital Systems» State Viiiv <>f New Вй at Bmtalo» New York, , OSAKT, S ; NJSJHO, T„ ; tectures, Springer-Vcrlag» Borhii» HN’> РАІШЛМГ, B, lutcrcouectum Reduudancy forReUubiUty izmeni ^It-lM Digital Systems, Digital Ргосоявен, , - •», », p PIERCE» W L, Failure — Tolerant Computer Design, Academic Press, New York, , Pil AUD, E , Conccption ct validat ion de svslcmes informat iques ă haule surele dc foriciitm-ncmnil, Inst National Polytechniquc dc Grcnoblc, RANDELL, B ; LEE, Р Л ; TRELLAVEN, P C , Reliability Issues in Computing System Design, ACM Compui, Surv , , , p — RENNELS, D A , Architectnres for Pauli Tolerant Spacccraft Computers, Proc of the IEEE, , p - RENNEI S, D , Dislribitted Fault-Tolerant Computer Systems, Computer, , , , p — SCHMITV, E , Information Processing Systems, Tcchuical Report, ЕЕ , State Unrz of New York at Buffalo, N Y , SCHWOB, M , PEYRACHE, G , Trăite de fiabilite, Masson, Paris, SHERIDAN, C , Space Shuttle Software, Datamation, , , p HO SHOOMAN, M , Probabilistic Reliability, An Engineering Approach, Mc Graw-Huill, New A’ork, SIEWIOREK, D P , A Measurc of Switch Complexity in Systems with Standby Sparrng, Technical Report, Stanford Univ , Stanford, SIEWIOREK, D P ; Mc CLUSKEY, E J , An Iterative Cell Switch Design for Hybrid Rcdundancy, IEEE Trans ou Computers, C- , , , p — SIEWIOREK, D P , Reliability Modcling of Compensating Module Failures in Mafority Voted Redwndancy, IEEE Trans on Computers, C~ , , , p — SIEWIOREK, D P , A Case Study of Cmmp, Cm and Cvmp : Part I — Experienței witk Fault-Тоіегянсе in Multiprocessor Systems; Part II — Predicting and Calibrating Reliability of Multiprocessor Systems, Proc of IEEE, , , , p — l SKLAROFF, J , Redundancy Management Tcclmiqite for Space Shuttle Computers, IBM J Res Devei , , , , p - STAS - , Fiabilitatea produselor industriale Indicatori dc fiabilitate S TEOSl'E, R ; Digital Circuit Rcdundancy, IEEE Trans on Reliability, R- , , p - THEURETZBACHER, N , VOTRICS: V o ting Triple Modular Computing System, Digcst of Papers -th lut Symp on Fault-Toleraut Computing, , p — L TRA’ON, J G , Quaddcd Logic, Rcdundancy Tcchniques for Computing Systems, Spartan Books, Washington, , p — WAKERLEY, J , Microcomputcr Reliability Improvemcnt Using Triple Medular Re-dundancy, Proc of IEEE, , , WENSLEY, J , SIF'l' : Design and Analysis of a Fault Tolerant Computer, for Aircraft Control, Proc of IEEE, , , , p - л * ♦ Special Issucs on Fault-Tolerant Computers, IEEE Transactions ou Computers, - capitolul TEHNICI DE DETECȚIE A ERORILOR CONSIDERAȚII ASUPRA TEHNICILOR DE DETECȚIE A ERORILOR ÎN VEDEREA IMPLEMENTĂRII TOLERANȚEI LA DEFECTĂRI INTRODUCERE Punctul dc pornire al strategiilor de tolerare a defectărilor îl constituie detecția stării eronate a sistemului, stare care în absența oricăror măsuri de protecție va conduce la defectarea acestuia Mai mult, succesul oricăreia dintre aceste strategii este dependent, în mod critic, dc eficacitatea acestei detecții r în principiu, evidențierea stării eronate a unui sistem — stare care se datorează fie erorilor de proiectare, fie defectării elementelor componente — se realizează prin introducerea în sistem a unor componente suplimentare (elemente hardware sau programe specifice), unnînd ca, ulterior, celelalte faze ale tolerantei la defectări să mascheze aceste erori sau defecte fizice în general, identificarea stărilor eronate sau a defectelor fizice — diagnosticarea defectărilor sistemului împreună cu mentenanța corect iva sînt metode eficiente dc asigurare a bunei funcționări a sistemelor mai ales în cazul proceselor off-lne, deoarece este posibilă rcprocesarea funcțiunilor după detectarea si înlăturarea defectelor fără urmări prea grave, dar ele ]>ot fi utilizate și in cazul proceselor on-linc, de exemplu, ca modalități de a asigura operarea sistemelor cu redondanța de comutație Dacă se consideră evoluția în timp a procesului de diagnoză tehnic*» în particular pentru sistemele de calcul, se constata că, pentiu Piun( e ca , latoare, tehnicienii de înaltă calificare puteau ca pe baza exP™ Г să diagnosticheze Și Să înlăture drlertările; lalonlă temelor de calcul actuale este însă dificil sa se acumuleze o >s Pentru sistemele digitale actuale Pe utilizarea unui ansamblu de module localiza c •■ dialogul cu integrate în structura sa Aceste unități suplinu Dată numărul elementelor sub- >ptă un compromis zătoare •>л г" ,'Ѵ" а umor Odată ее о iuncționare defectuoasă а apărut este dc dorit identifica rea ei: subsistem al sistemului sau element al subsistemului Astfel b-чаШагеа poate fi efectuată fie la nivelul unei componente, fie la nivelul unei mulțimi dc componente, ceea ce permite identificarea și implicit înlocuirea componentei defecte sau a celui mai mic subansainblu care o conține Testele •do acest tip, necesare in mod frecvent în realizarea toleranței la defectări sau în operațiile de mentenanță corcctivă, trebuie să fie cît mai concise și cit mai rapide, mai ales cînd se folosesc în faza de testare inițială Sînt de obi- У kk> Ук > * • • ~ , , ,$ (э ) Secvența de test: succesiunea semnalelor la intrările primare Lungimea testului, este dată de numărul s Rezoluția de diagnosticare a testului reprezintă cantitatea de informații furnizată de mulțimea testelor de diagnostic în general, se deosebesc următoarele trei categorii de teste pentru diagnoză: - • Test parametric, test care implică verificarea — în cazul circuitelor electrice de exemplu — a unor caracteristici parametrice, cum ar fi tensiuni, impedanțe etc w • Test funcțional: test care implică verificarea funcțiilor logice ale circuitului — în cazul circuitelor logice, de exemplu în acest scop se folosesc dicționare de defectări, care permit verificarea conformității funcțiilor-răs-puns corespunzătoare • La fîndul lui testul funcțional poate fi: — exhaustiv, cînd tabelul de adevăr caracteristic sau tabelul tranzițiilor — în cazul circuitelor logice secvențiale — este în totalitate verificat; — parțial, cînd verificarea sc efectuează pentru anumite combinații sau secvențe ale semnalelor de intrare, în particular pentru acelea care intervin în funcționarea curentă a circuitului respectiv; — statistic, cînd secvențele de test sînt date aleator cu o lege de repartiție uniformă • Test dinamic, test care implică și verificarea timpului de răspuns și de comutație în condiții reale de utilizare Se subliniază că în cazul circuitelor logice cele mai multe ipoteze care stau la baza metodelor de generare a secvențelor de test privitoare la natura defectărilor* iau în considerație defectările logice și cel mai adesea defectările care au ca efect blocarea uneia dintre ieșiri în „ “ sau „ " logic ■ ■ lAw ■ • Considerîndu-se natura defectărilor se disting: defectări logice, defectări care la o modificare a tabelului de adevăr al circuitului și defectări de propagare (impulsuri p xite sau tranziții eronate) I 'г?*' '* * ,’”a’L'!!!ІН'-' , l’,i’ ’ / •*’ ~ • Pentru a avea semnalul yGs = , trebuie ca % = și x = S-a obținut astfel vectorul test: - - T =(x , x , x , Xi, x ‘, y ) = ( , o, , , ; ), care identifică de-fectarea: ieșirea porții G blocată în „ " Atunci cînd semnalul y — se va evidenția prezența defectării; iar cînd y — , absența defectării Defectarea nu se observă la ieșirea yx, deoarece căile G , G , G și G , Gin Gn, G nu sînt sensibile la propagarea defectării considerate Astfel, = și y i implică Л *= , atunci cînd defectul este prezent și ycQ'^ și == , atunci cînd defectul nu este prezent, implică aceeași valoare, ^ — V Această situație se întîlncște atunci cînd căile de propagare diverg de la locul defectului și converg la ieșire, numărul de inversiuni pe căile respective fiind neegal De mepționat că metoda denumită a căii sensibile nu conduce- întotdeauna, respectiv pentru orice tip de circuit logic, la un test de diagnostic ° Analiză și simulare asistată dc calculator în acest scop se pornește de la un model matematic al simulării funcționării circuitului (sistemului), dezvoltaț pe calculator, introdueîndu-se succesiv, într-un mod sistematic, diferite defectări prin modelul lor — pentru care se dezvoltă testele cores-punzătoare [ j, [ ] / T; â&î’ - i • ' ‘ • w- * Simularea poate fi realizata în două moduri: (a) Simulare prin compilare Circuitul este privit ca o unitate funcțională a cărei descriere este tratată in aceeași manieră ca un program scris în limbaj mașină Simulatorul conține un modul dc prelucrare preliminară, un compilator logic care generează instrucțiunile printru simularea fiecărui clement logic din circuit, manevrează cuvintele de injectare a defectărilor (simulează efectul defectelor pe un element logic) Simularea este astfel obținută prin execuția programului compilat; (b) Simulare prin manipulare de tabele Descrierea schemei logice a circuitului este stocată in memoria calculatorului sub formă de tabele (datele programului) Schema logică este obținută pe baza descrierii funcționale a modulelor logice elementare Descrierea schemei logice hu este tratată global dc simulator; la fiecare etapă dc simulare programul determină elementul care trebuie tratat, fiind apelat subprogramul potrivit Acest mod de lucru prezintă o serie de avantaje Astfel, există posibilitatea folosirii unor trasee selective de porți în circuit, la un moment dat fiind considerate numai modulele pentru care una dintre intrări și-a modificat nivelul logic; de aceea, procedeul are ca rezultat o reducere importantă a timpului de lucru De asemenea, el prezintă o marc suplețe ca mod de lucru; introducerea unui nou modul este simplă, fiind suficientă modificarea instrucțiunii de găsire a funcțiilor logice și introducerea subprogramului corespunzător simulării noului tip de modul Metoda prezintă o marc generalitate, este aplicabilă circuitelor mari și poate detecta un marc număr de defectări B Metode de generare a secvențelor de test prin sinteză în acest caz sînt determinate, pe baza considerării structurii interne a circuitului cu ajutorul unui algoritm — pentru un defect — , una sau mai multe combinații de semnale de detecție în cele ce urmează se va exemplifica aplicarea algoritmului ZS> [ ] ca metodă de generare a secvențelor de test prin sinteză ° Metoda algoritmului D Algoritmul D [ ] conduce la obținerea unui test pentru diagnosticarea unei defectări în termenii intrării și ieșirii porții defecte, generînd simultan toate căile posibile dc propagare a defectării la toate ieșirile primare ale circuitului La fiecare pas al algoritmului se verifică convergența căilor, renunțîn-du •se la dezvoltarea în continuare a căii care nu este divergentă (operație numită propagare) în final se urmăresc pînă la intrările primare toate căile de propagare generate, căutîndu-se în mod automat valorile logice ale semnalelor de intrare, care evidențiază manifestarea defectărilor la ieșirile primare Exemplul >în continuare se vor evidenția etapele algoritmului, considerîndu-se circuitul din figura , pentru care uu s-a putut obține un test de diagnoză, utilizîndu-se o metodă de analiză [ ] Algoritmul utilizat presupune următoarele etape: big Circuit pentru exemplificarea, algoritmului JJ Etapa I: descrierea porților logice cu tabelul Iar de adevăr Pentru circuitul analizat porțile G sînt definite în tabelul în acest tabel, pe lingă utilizarea valorilor logice și s-a mai introdus simbolul x, avind semnificația că linia corespunzătoare din circuit poate lua orice valoare, sau Fiecare șir al tabelului — numit cub D — definește o relație cauzală între semnalele de intrare și ieșire Etapa a II-a\ descrierea cubului D Cuburile D pentru porțile elementare SAU, ȘI sînt indicate în figura Aici D este un simbol care poate fi sau , avînd semnificația în termenii unui test că ieșirea — de exemplu — este controlată de intrarea a porții SAU cînd intrarea are valoarea (fig a) Pe baza algoritmului utilizat cuburile D sînt construite în mod sistematic, ceea ce permite propagarea lor la ieșirile circuitului Se pornește de la definiția dată porților; se intersectează cuburile de definiție ale circuitelor elementare, utilizîndu-se regulile următoare: Pentru circuitul considerat, cuburile D — construite cu relațiile ( ) aplicate cuburilor de definiție indicate în tabelul — sînt indicate în tabelul Cuburile obținute evidențiază ușor semnalele intrărilor, care pot controla ieșirea fiecărei porți Etapa a IH-a: Construirea сгьЪиІиі defectării Construirea acestui cub se bazează pe același formalism ca la faza anterioară Cubul unei defectări permite exprimarea testelor în vederea diagnosticării unui defect în termenii intrării și ieșirii porții defecte Pentru circuitul tratat cubul defectării — ieșirea porții G blocată în „ " — este indicat în tabelul , avînd semnificația că atunci cînd intrările și sînt fixate în O, ieșirea va avea valoarea dacă defectarea este prezentă și dacă defectarea este absentă Etapa a IV-a: Generarea caii sensibile Generarea unei căi de propagare pentru cubul defectării — cale sensibilă — este obținută cu ajutorul intersecției D [ ], definită în tabelul ț ■ Observație Simbolurile Ф și ф semnifică faptul că intersecția D nu are sens, respectiv este nedefinită К b) JWg , Cuburile D pentru: a — poarta logica SAU; b — poarta logică ȘI о о іо о О о О о о о о о о о Tabelul Cubul defectării Eticheta V • Poarta Ieșirea diverge Ia • Comentarii f • Vb •“"* ’PC -• D cs° * , Se trece la • • • > ж etapa a IV-a Tabelul în cazul circuitului analizat generarea căii sensibile este efectuată uti-lizîndu-se intersecția D a cubului defectării cu cuburile D de propagare ale P Intersecția P a expresiei CS° (tabelul , ) cu al doilea cub D de propagare (tabelul , ) al porții Go, conduce la rezultatul: Semnificația rezultatului obținut anterior este următoarea: semnalul de ieșire va fi complementul logic al semnalului apărut in punctul al circuitului, deoarece dacă intr-o intersecție ), apare numai rt dar nu și £, atunci vor exista: I) П ) = И Și П »'• ) D Prin urmare, | I p [ | | x ) x D x X D ])' ) )' S-a obținut astfel propagarea cubului ) al defectului prin poarta G a circuitului Propagarea cubului D al defectului prin poarta G sc obține în mod similar Sc continuă operația dc generare a căilor sensibile prin poarta G Se aplică intersecția ) căii sensibile C S' , și se obține: С$олГѴ г = [ | n | | D } j D x D' ;v x - x D x x x x D D' I | ) : )' w* Simbolul \ arc următoarea semnificație: ieșirea porții G este controlată de nodul din circuit, astfel îneît semnalul de ieșire la poarta GJ este complementul semnalului din punctul al circuitului Rezultatele sînt concentrate în tabelul Termenul CS î , nu este dezvoltat mai departe cu acest algoritm, intru-cit, pentru această cale de propagare nu există o ieșire divergentă (din acest motiv în tabelul apare simbolul Ф) Etapa a V-a: Determinarea testului Secvența de test se determină por-nindu-se de la fiecare cale sensibilă obținută în etapa anterioară spre intrările primare Sc scriu semnalele logice corespunzătoare după cum urmează: Se începe cu calea CS’ , , , obținută mai sus Se selectează elementul de valoare sau cel mai apropiat de ieșirea circuitului (este cazul ieșirii porții Gn a circuitului ) Se determină semnalele la intrarea porții Gn> astfel incit să se obțină la ieșirea acestei porți semnalul „ " Se continuă în acest mod, din aproape în aproape, pînă la intrările primare, cînd se concluzionează că nu există un test corespunzător pentru această cale Rezultatele sînt concentrate în tabelul Procedindu-se în mod similar și pentru CS * se obține același rezultat, în schimb, pentru GS' , ’ ’ s-a obținut lestul '; T : ( , , , , ) Pe baza algoritmului prezentat a putut fi obținut un test de diagnoză cfc ) == • "£>: D':o : D : x : : : л- : : : : Ieșirea trebuie să (ic „ " Cu tabelul se identifică Idouă posibilități: koW i^o(^)^io( este în contradicție cu С$ ' , ЛСп(а); |se alege (q) CSO »> gGJ (a) nGle(a) = • log PA/log PBD ( - ) Valoarea probabilității PBD este dependentă de structura interna și de starea logică a circuitului testat Fig Aplicarea metodei generării aleatoare a testelor Generator de secvențe aleatoare Circuitul testat Circuitul martor Comparator Rezultat test Metoda este utila în cazul testării circuitelor integrate pe scara larga,, cînd localizarea unui defect în circuit nu mai constituie un obiectiv major,, astfel incit este justificata folosirea unei metode de testare dc tip „da sau nu\ testele fiind generate pe principii probabilistice De exemplu, aplicindu*s - ( ) log ( - Pa) + ® * С * -■ ■ ' - • • v • f ' * • ' * w • — *• - ținc cont de>posibilitatea testării sale facile în aceste condiții se realizează un compromis în detrimentul exhaustivității testului sau a lungimii șale ; în procedura de generare a secvențelor de test pot fi evidențiate următoarele trei strategii pțț Elaborarea de iesle după principiul start-small în această abordare se începe cu testarea celui mai mic modul posibil din sistem, fiecare test suplimentar adăugind apoi un nou modul pentru testare Diagrama din figura ilustrează secvențele desfășurării metodei Cu toate că este relativ complexă, avîndu-se în vedere procedura stabilirii succesiunii testelor individuale, aceste strategii prezintă — după opinia noastră — două avantaje principale și anume: • localizarea defectărilor este’ra-pidă, dacă se pornește de la accepțiunea că o defectare detectată nu se mai poate găsi într-un circuit nou testat,, deoarece nu este posibilă trecerea la pasul următor, decît după înlăturarea defectării respective: • problema defectărilor multiple, atunci'cînd’partiționarea sistemului este realizată în module suficient de mici, este rezolvată într-o anumită mului start-small măsură; Dificultatea care apare în elaborarea unei astfel de strategii de generare a testelor constă în găsirea unui decupaj adecvat și a unei ordonări a circuitelor rezultate în vederea optimizării testării lor ° Elaborarea de iesle după principiul start-big în aceasta situație» testul se aplică — pentru început — unei porțiuni niari din sistem In caz de bună funcționare a unității testate testul continua pentru o alta unitate mare, iar dacă se detectează o defectare secvențele de test se pot ramifica pentru a diagnostica decupajele din ce în ce mai fine din sistem pina la identificarea defectării (fig ) A Această strategic apare optimală pentru testele efectuate sistematic i vedereaune^^ decît în prima abordare; mai mult, această abordare nu este aplicabilă ut ipo teza defectărilor multiple r Elaborarea de Ieste după principiul multiple cine, Comparativ eu ■ m-xuecă secvențele do test Secvențele * d stabil irii unui diagnostic Fig Succesiunea secvențelor algoritmului start-big Avantajul acestei abordări constă în aceea că nu este necesar un decupaj strict al sistemului în module, nici o ordonare precisă a testelor în schimb, algoritmii de diagnostic sînt mai sofisticați, iar în ipoteza defectărilor mul tipie devin mai complicați în plus, lungimea testului poate fi cîteodată mai mare decît este necesară, căci oricare ar fi momentul detecției unei defectări numărul secvențelor de test este constant în acțiunile dc mentenanță ale sistemelor, pentru a conferi acestora fiabilitate și flexibilitate, se aplică atit teste de diagnostic cit și teste de verificare a funcționării, precum și teste de încredere în figura este prezentată o metodică [ j propusă pentru aplicarea optimă a testelor generate pentru sistem PROCEDEE DE DERULARE A UNUI TEST La elaborarea unei metode de generare a secvențelor do test pentru u» ; sistem sau chiar pentru un simplu circuit trebuie avută în atenție și metod» de derulare a secvenței de test Procedeele dc derulare a testelor pentru sistemele digitale se pot clas x fica [ ] priit analogie cu definițiile date circuitelor logice secvențiale Și cam- ** * ’ • Supravegherea sistemului cu un sistem de detecție a erorilor, procedee de verificare logica etc : înregistrarea erorii Tehnician de ^nentenanțâ Preventiv sau la constatarea declanșării unei erori Periodic sau la apelul operatorului funcționarii Corectiv pentru diagnostica- rea unei defectări care dupâ reparare Teste de diagnostic, aplicate dupâ reconfigurare, cînd se izolează sistemul/ subsistemul defect Teste pentru controla» reglajelor Planificarea acțiunilor preventive sau corective Repararea sistemului Teste de încredere, dupâ reparare și reconectare Fig Aplicarea testelor în acțiunile de mentenanță I L binaționale în metode secvențiale și, respectiv, combinaționale în cazul testării secvențiale cel de-al i'-lea vector test este determinat pe baza răspunsurilor la cei M vectori-test anteriori în cazul testării combinaționale cel de-al i-lea vector-test este independent de vectorii-test anteriori " S *, * « ‘ St л & *>* ■ ъ r • % ” Л ■ * ,• *■ V '■ ? * ■»£ ’• V ’ V * ’ ' ’ • ' «• ' t ■ ‘ * ' ’- • ' j f , ; • ♦’ / / * Ъ* O * ' ■> »* *'** ' ‘ V*’ ° Metoda testării secvențiale în cele ce urmează, principiul metodei evidențiat pentru un sistem partiționat în șapte subsisteme identice,, Sj S S , cărora li se aplică trei secvențe de test, î\, T > Л (tabelul rezult înd patru tipuri de semnale-răspuns, Yx, Ya, Y , Y ’ Va baza datelor din tabelul se poate construi diagrama-test din fi-₽ura Se obține un arbore de diagnostic în care fiecare defectare coreș-S ramuri dar nu în mod necesar și invers, iar terminațiile ramuri- lor corespund locurilor unde testarea s-a oprit, cînd s-a identificat o defectare, în cazul analizat, a fost cunoscut apriori că modulul m stare de bună funcțio-este s" șt prin convenție, acesta a fost plasat pe ramura superioară a • ' л { - ramuri dar nu în mod necesar și invers, iar terminațiile ramuri- punde une , ♦Л„*о*ла в я лпгн rînd s-a identificat o defectare o arborelui Aplicarea testului \ a condus la o repartizare a c?lor șapte module în patru clase, funcție de vectorul semnalelor de ieșire, Y(, și anume: S,, S •^ » ^ » ^ > Ș* ^ ' Tabelul Vcctor-răspuns Este necesară utilizarea testelor T și T pentru o repartizare ulterioară a subsistemelor din clasele ȘÂ *$ , Se Se ajunge astfel la identifi- carea intr-un mod гіпіе a unui sistem, deci la un procedeu de testare cu rezoluție de diagnosticare maximă După fiecare test, aplicarea testului următor se face funcție de rezultatele obținute anterior în mod uzual se adoptă testul care furnizează cea mai mare cantitate de informație Fig Arborele de diagnoză în cazul testării secvențiale °, Metoda testării combinafionale Utilizarea acestei metode are ca rezultat reducerea cantității de date stocate in vederea diagnosticării Crește însă numărul testelor necesare în raport cu metoda testării secvențiale și astfel timpul mediu pentru diagnosticarea unei defectări va fi mai mare Re-dondanța proprie acestei testări poate conduce la detectarea unor defectări care n-au fost considerate printre defectările posibile la generarea testelor, ceea ce compensează timpul mai mare necesar testării Aplicarea testelor intr-o ordine prestabilită conduce la un dicționar al defectărilor, care facilitează diagnosticarea ulterioară a acestora în continuare se consideră același exemplu ca în cazul anterior, dar testele sînt derulate după un procedeu combinațional Se aplică sistemului trei teste, T,, T , Țs în figura este indicată diagrama-test obținută ca un arbore de diagnoză Dicționarul de defectări corespunzător este prezentat în tabelul Deoarece ч/ J j * e * г •¥*>* «ж I Уд Уі У У - Arborele de diagnoză în cazul testării combinaționale У У Уя Sisteme Уз Уз У У Răspunsuri la testele Tj T T Comentarii У r « Sj este în stare de bună funcționare ’ •» A * t~- So este defect S este defect este defect defect este este defect este defect m ■ v- * în general numărul de combinații ale semnalelor care detectează defectările variază de la o defectare la alta, prin ordonarea combinațiilor semnalelor de test In sensul descreșterii numărului de defectări detectante devine posibilă Surcele douî ahordfci secvențiali “Cn necesității memorării ‘^es^i iCun»r- tXTXtTtoate testele, chiar dac a fost identificată o defectare g aiin«lări se face printr-un compromis între, в delectUr „ер— etc De menționai că cele două abordări generale descrise pol conduce la dezvoltarea altor strategii de testare, dar acestea pol fi privite tic ca variante, fie drept combinații ale lor CONCLUZII în acest paragraf au fost prezentate unitar principalele metode dc gc ncrare a secvențelor dc test pentru sistemele digitale, evidențiindu-sc în mod critic particularitățile acestora Sc impune elaborarea unor metode optime dc generare a secvențelor de test atît din punctul de vedere al lungimii secvențelor de test, dar și din punctul dc vedere al efortului necesar generării acestor secvențe Aceasta implică proiectarea sistemelor îneît să tic facil tcstabile în ceea ce privește automatizarea testelor considerăm că nu este suficient un program unic pentru fiecare sistem, ci este preferabilă utilizarea unui sistem de testare, avînd la bază o bibliotecă de programe care: — folosește proprietățile de simetric și regularitate a diferitelor circuite ale sistemului; — facilitează modificările ce trebuie aduse testului ca urmare a unei schimbări de concepție în sistem, ctc Investigarea prin metode de modelare și simulare presupune descrierea defectelor în termeni de comportament logic bine definit Cercetările întreprinse în această direcție au permis ca în momentul de față să existe algoritmi — bine puși la punct — de generare automată a vectorilor de test pentru circuite logice combinaționale [ ] Pentru circuitele secvențiale o soluție larg acceptată constă în proiectarea structurată a acestora [ ],modalitate care, într-o formă sau alta, reduce problema testării unui circuit secvențial la aceea, bine pusă la punct, a circuitelor combinaționale Metoda are o mare varietate de implementări, cunoscute sub denumirea generică Scan Design SISTEME DIGITALE TOTAL AUTOTESTABILE DEFINIREA SISTEMELOR AUTOTESTABILE Fie că este inclus la nivelul unui modul funcțional simplu sau la nivelul întregului sistem, procedeul autotcstării funcționării sistemului constituie baza implementării tolerării dinamice a defectărilor Atît sistemele autore-parabile, cit și cele rcconfigurabile includ funcția de autotestabilitate, De subliniat că problemele autotestării sau autotestabilității sistemelor digitale sînt diferite de problematica testării sau tes labilității ușoare a acestora Primele presupun testarea sistemelor în funcționare normală Do aceea, secvența de test va fi inclusă în ansamblul configurației sale, sistemul apărînd pentru sarcină că funcționează normal Se menționează că implementarea sistemelor tolerante la defectări presupune realizarea unor structuri autotestabile cu o siguranță în funcționare foarte ridicată în continuaic se consideră că mulțimea semnalelor dc ieșire ale sistemului analizat aparține unei mulțimi de configurații, notată în cele ce urmează CA Apariția unei defectări în sistem conduce la o configurație de ieșire cc nu apaiținc mulțimii CE, ci unei mulțimi CD, disjuncte cu CE Pro-bfema auiotestării sistemului se reduce astfel la căutarea automată, în timpul funcționării normale a sistemului, a apartenenței semnalelor de ieșire la una dmtre mulțimile CE sau CD Este posibil ca defectarea să conducă la im semnal de ieșire incorect, dar care aparține mulțimii CE Sistemele la care se previne acest tip de funcționare defectuoasă sînt sistemele total autotestabile Se definește sistemul total autotestabil ca fiind sistemul autotestabil și sigur în prezența defectărilor Un sistem total autotestabil relativ la o anumită mulțime de defectări are următoarele proprietăți: — toate defectările acestei mulțimi sînt detectate în timpul funcționării normale a sistemului; — orice defectare este detectată de îndată ce a apărut Pentru exemplificare se consideră un sistem S cu n intrări care primesc mulțimea semnalelor binare X = {л'{} și m ieșiri funcționale cu mulțimea semnalelor binare Xp = (fig ) Necesitatea detecției imediate a defectărilor impune o separare a semnalelor de ieșire în două mulțimi; fie acestea mulțimea semnalelor ieșirilor funcționale, Yp = {>>,■}, în număr de m, și mulțimea semnalelor ieșirilor de test, YT = {yTj}, în număr de k Configurațiile binare ale variabilelor yTi corespunzătoare semnalelor de test în funcționare normală aparțin unor configurații de semnale, apriori fixate, notate CET Pornind de la acest model propus unui sistem în vederea includerii caracteristicii de autotestabilitate, se pot da următoarele definiții referitoare la conceptul de autotestabilitate • Un sistem " este autotestabil pentru o mulțime de defectări D dacă si numai dacă pentru orice defectare d^D există un vector al semnalelor de intrare aplicat sistemului S, astfel îneît sînt îndeplinite condițiile unde YT (X(, dt) este configurația binară a ieșirilor de test ^r^ltată la aplicarea secvenței de intrare Xt sistemului ш prezența de ec ц • Există certitudine asupra răspunsului unui sistem * conținut în mulțimea semnalelor de test, ш prezența unei mulțimi de defecte D dacă și ritimâi dacă pentru orice defectare d • Aceste condiții sînt îndeplinite dacă: ( ) considerîndu-se că semnalele de intrare ale circuitului de control aparțin mulțimii CET, iar semnalele de ieșire aparțin mulțimii CEe și no-tîndu-se cu XH și Ycl vectorii semnalelor de intrare, respectiv dc ieșire, ale circuitului de control, există relațiile: ^XcleCET, Ycl(Xci)eCEc ( ) și ^Xe,$CET, ' Yci(Xcl)^CEc-, ( ) ( ) circuitul de control este el însuși de tip autotestabil • Circuitul de formare a semnalului ALARMA sMxSTOP trebuie să aibă în structura sa următoarele elemente: — un circuit care să detecteze configurația semnalelor de la ieșirile circuitului de control care nu aparțin mulțimii CE„, notat în figura cu D; >’ ■ — un filtru, F, care să elimine eventualele configurații tranzitorii care ar putea să apară în timpul funcționării normale a sistemului; — un circuit, care asigură înregistrarea erorii detectate de circuitul D, ce poate fi de exemplu un circuit basculant bistabil de tip RS ANALIZA UNOR SISTEME TOTAL AUTOTESTABILE Filtiul F este inutil dacă sistemul dc detecție este sincronizat de un semnal de tact (cazul sistemelor sincrone) * j- , x ' * * * • Hebuie menționat ca oricare ar fi realizarea dată unui sistem autotes-tabil nți este pcsibil de detectat toate defectările posibile ale sistemului L»c subliniat că realizarea unui sistem autotcstabil poate fi condiționată de •apariția anumitor tipuri de defectări apriori considerate, funcție de tipul de aplicație avut în vedere pentru sistemul respectiv și tehnologia folosită Realizarea sistemelor total autotestabile are la bază utilizarea structurilor redondante Aceasta rezultă dintr-o codare explicită sau implicită a informației, ce caracterizează funcționarea sistemului, pentru care s-au Utilizat coduri redondante ■; ■' • în cele ce urmează sistemele total autotestabile vor fi clasificate după tipul redondanței utilizate în: sisteme totabautotestabile cu structurăredon-dantă separabilă și, respectiv, sisteme total autotestabile cu structură redondantă neseparabilă i ,' т I SISTEME TOTAL AUTOTESTABILE CU STRUCTURĂ REDONDANTĂ SEPARABILĂ * ' * - '■ -Jcfk •* ■ * ‘ « X Д ' *" '•*’ ’ * '' Țl • ’- * ’ ’*’ * * - - î , * > Л ' * * - - " Г ’• ' *•»• ’ ’ • • r \Jf f * ? Z \ ’ • - * - Structura generală a unui sistem autotestabil de acest tip este indicata în figura Schema analizată are în componență un modul funcțional, notat cu SF, si un modul redondant, notat cu SR Modulul redondant are ca intrări semnalele X si YF si formează în funcționare normală semnalele de test Y,,, care aparțin mulțimii CE, Deși nu există o soluție generală pentru realizarea unui sistem de tip autotestabil, schema dată în figura э este Utilă, deoarece permite o sistematizare a diferitelor căzui i particulare de sisteme autotestabile ■ Угі Утк Modelul unui sistem autotestabil eu structură redondantă separabdă Г Sisteme- autotestabile cu structura Л/Мя/л Schema-bloc a unui astfel >■? Y -A- Л- ’ - A * • > г f • sistemului, SFșiSĂ’ Pentru a evita nedetcclarea defectelor simultane — cum ar fi cele dc concepție — ale celor doua module, este recomandabil ca modulul redondant F să fie realizat cu o alta schemă decît modulul funcțional, dar să îndeplinească aceleași funcții Deși simplă, această structură de sistem autotestabil nu poate fi acceptată în cele mai multe cazuri, din cauza costului ridicat, anumitor probleme de sincronizare între modulele sistemului, ca și a numărului mare de semnale de test, ceea ce are ca rezultat complicarea circuitelor dc control, C C , corespunzătoare ° Sisteme autotestabile cu inversarea funcției sistemului de bază în acest caz, la ieșirea modulului redondant se obțin semnalele de intrare primare X ale sistemului considerat, formate din semnalele de ieșire YF date de modulul funcțional SF[ ] Schema-bloc a unui sistem autotestabil astfel conceput este indicată în figura Detecția eventualelor defectări este obținută prin compararea informației de intrare în sistem — vectorul semnalelor de intrare — și a informației formate de circuitul de inversare, care constituie-aici modulul redondant al sistemului De menționat că nu toate sistemele admit un circuit pentru modulul redondant care să realizeze funcția inversă a modulului funcțional Se pot realiza sisteme autotestabile cu o astfel de structură pentru codificatoare, decodificatoare, dar nu și pentru sumatoare — de exemplu — deoarece in cazul acestora informația primară nu poate fi separată din informația de ieșire Concepția acestor' sisteme autotestabile este mai complicată decît cea prezentată anterior, modulul redondant avînd o schemă logică diferită de cea a modulului funcțional în acest caz, costul sistemului autotestabil depinde de costul sistemului de bază și poate fi superior dublului costului acestuia, iar viteza de funcționare a sistemului este bine limitată de timpii de propagare a informației prin cele două module, funcțional și redondant șî evident va fi mai mică decît' în cazul structurii indicate anterior ° Sisteme autotestabile cu coduri detectoare de erori în acest caz modulul redondant al sistemului autotestabil considerat realizează o codare a semnalelor de intrare și ieșire ale modulului funcțional De exemplu ЗЛЛ Sistem autotestabil cu inversarea funcției sistemului de bază Fig Sistem autotestabil cu structură dublată pentru sumatorul din figura configurațiile a, b, Cn lt Sn, Cn au fost codificate cu doua variabile, - si v , astfel incit: л ’ T {зѵх, З'тг} = {ОД} sau { , } ■ w * -• T în funcționare normală si » > {З'тр З’г-J = {°' } sau { , } m prezența unor defectări în sumator Pornind de la această soluție dată unui sistem autotestabil, se poate da o generalizare pentru cazul sistemelor care au k grupe de semnale de ieșire: fiecăreia dintre cele k grupe îi corespunde cîte un semnal de test, yTf Pentru fiecare variabilă yT, se formează, cu circuitele modulului SR, variabila y'T complementară lui yT cu variabilele care reprezintă semnalele la intrările primare Sistemul astfel sintetizat va avea г semnale de test Ieșirile YF șî Y , pot fi codate, utilizîndu-se o codare separabilă cu un cod de paritate, cod Berger etc Făcînd apel la schema din figura , se poate stabili că ieșirile у aP modulului funcțional formează informația „utilă" a codului, în timp ce ieșirile YT ale modulului redondant formează informația „de control a codului Această soluție propusă pentru sistemele autotestabile este rezervată sistemelor combinâționale, pentru care semnalele dc ieșire depind numai de semnalele de intrare SISTEME AUTOTESTABILE CU STRUCTURĂ R E DON DA N T Ă N ESE PAR АВ ILĂ f nrp'ietă citcrorie pot fi incluse sistemele autotestabile sintetizate pe baza Hp ЬЖrodul > din „IUI [MJ' taplen,cutarea acestei “Semuluî dec^‘b'în'eTâulît ueturii eu separabilă Pentru aceasta categorie de sisteme nu se poate identifica separat o mulțime a semnalelor funcționale și o mulțime a semnalelor dc test Evident, nu se va adăuga un codor la ieșirea sistemului funcțional pentru a se codifica informația de ieșire, ci sistemul funcțional va avea inclusă, intr-un mod nescparabil, redon-danța necesară posibilității dc testare a sistemului in funcționare normală Comparativ cu sistemele autotestabile cu structură dublă, sistemele realizate utilizind aceste tehnici de implementare a autotcstabilității vor avea un cost mai scăzut, deoarece includ mai puține circuite Astfel, pentru a coda '" stări ale unui sistem secvențial sînt necesare — pentru sistemul neredohdant, care nu este autotestabil — un număr de m variabile secundare ; utilizarea structurii redondante dublate pentru implementarea autotcstabilității echivalează cu necesitatea a m variabile secundare Cu un cod k din w se pot coda un număr maxim de C* stări De exemplu, dacă m — , folosirea pentru codare a unui cod de tipul din — care evidențiază configurații distincte — este suficient pentru a diferenția cele = stări interne posibile în cazul adoptării soluției de sistem autotestabil cu structură dublată sînt necesare variabile secundare, iar cînd se folosește codul din pentru realizarea unui sistem autotestabil sînt necesare numai variabile secundare, deci, mai puține circuite STRUCTURA CIRCUITELOR DE CONTROL i J > к * în § au fost evidențiate rolul și locul unui circuit de control intr-un sistem autotestabil, indieîndu-se totodată o definiție a circu-telor de control exprimată prin relațiile ( ) și ( ) Problema realizării circuitelor de control a fost abordată într-o serie de lucrări [ ], [ ], [ ], [ ' ș a fiind propuse metode de concepție a acestor circuite pentru controlul semnalelor de test care aparțin codurilor cu bit de paritate, codurilor A din codurilor Berger etc O soluție posibilă pentru realizarea unui circuit de control este aceea potrivit căreia semnalul de ieșire al circuitului este „ " atunci cînd sistemul controlat funcționează corect și „ " cînd apare o defectare în sistem Dar, așa cum s-a reliefat în § , circuitul dc control trebuie să fie el însuși autotestabil Aceasta implică necesitatea ca numărul minim al ieșirilor unui circuit de control să fie cel puțin doi pentru a se evidenția și o informație de defectare în acesta Dacă circuitele de control se pot realiza cu circuite independente adică fiecare semnal de ieșire este sintetizat de un singur circuit, care nu arc nimic comun cu celelalte decît semnalele de intrare, o defectare intr-un circuit va afecta doar o ieșire a circuitului de control Există și o posibilitate simplă de aplicare a redondanței proiective statice la nivelul acestor circuite, ceea ce va face ca semnalele de ieșire ale circuitului de control să nu fie afectate de respectiva defectare, iar circuitul de control să fie do înaltă fiabili tate în cele ce urmează se vor analiza unele probleme legate de realizarea circuitelor de control li,,rr п s a demonstrat că numărul a circuitului Pe această bază intrare necesari- unui circuit dc minimal de combinații ale ^^£й£лЛ^и EXCLUSIV cu k intrări, este Dar oriȚ- it ! ruanzare în arbore cu porți SAU EXCLUSIV după modelul cck ' le * configurații în timpul funcționării normale, cînd cucuitul binare de intrare Proprietatea dc dutostcibihtatc a această metodă este garantata prin baleiază în mod sigur cele necesare testării tuturor : EXCLUSIV Se știe că un cir o) b) Fig Circuite dc control pentru sistemele autotestabile implementate cu cod cu bit dc paritate: л — semnalele yȚ Vț au fost împărțite în două subunități, yȚt y^ și Vț > & semnalele У?' »•••»>'Ț*au fost împărțite în submulțimilc Șl VȚt» ' • • • ■ ■ ' у ; r • ’ : ' • ? ; ■ V ț * ; ' * \ '* ' • Se consideră în acest sens un circuit de control cu structura indicată în figura , implementat cu porți SĂU EXCLUSIV • Fie m • ' * r - X • a ( )( ) z=«( ) ( ) >( )( ) /( ) ( ) ( ) ( )( ){ I !( ) ( ) • ( ) ( ) ( ) [( ) ] (( ) [( ) ) [( ) ( ) / ( ) Ь) O С О automată a problemei, se poate reduce spațiul de memorare al operațiilor și nu mai este necesară obținerea întregului arbore, cum este cel indicat in figura Fie mulțimea de combinații — cuvinte în codul cu bit de paritate pară — ale semnalelor de intrare dată în matricea M din figura a Aplicîndu-se procedeul indicat anterior ș-a obținut soluția (( ) ) , indicată în figura , prin explorarea părții grafului desenată Уі Circuit del control) Xl -Уз хз| Уг , ij л ггпітоі autol^i’ieb'l*’ pentru pje de circuite de ccniwi aut x t ir »-emp«»e» + ’’ r * ccdul cu bit do paritate: e — grup»™* (Ui + *•> + xa Хз cu linie continuă S-a renunțat la dezvoltarea ( ) , deoarece nu era lest ala în funcționare normală combinația semnalelor Circuitul de control rezultat este indicat în figura c Exemplul Fio matricea M dată în figura a care cuprinde mulțimea combinațiilor semnalelor de intrare intr-un circuit de control Semnalele formează cuvinte ale codului cu bit dc paritate pară de variabile Se observă că a treia coloană a matricei, corespunzătoare semnalelor conține un singur element de valoare „ " Deci în mod sigur, lipsește una dintre configurațiile sau necesare pentru ca poarta SALT EXCLUSIV, — care primește ca intrare primară semnalul x - să fie testată in funcționare normală în această situație se recomandă legarea intrării corespunzătoare lui x direct la una dintre ieșirile circuitului de control, astfel îneît y ='X , și găsirea arborelui satisfăcător format cu ce- M - o o o x x x O a) * Pig Sinteza unui circuit de control autotestabil pentru codul cu bit de paritate: a — matricea^semnalolor do intrare; b — verificarea autotcstabilității; c — circuitul de control A ' * * ►,( ) С ЭД K ) ) ] ( ) ) b) lig , Caz particular do sinteză a unui circuit do control autotestabil pentru codul cu bit do paritate: a — matricea semnalelor de lutraro; b — verificarea autoteatabib» tAtll» circuitul do control ielalte variabile x pentru a se sintetiza semnalul yv în acest caz arborele •este ((( ) ) ) ,-indicat în figura , iar circuitul care realizează funcția ® хг) ® x > ® xî) ® л-'в> implementat cu porți SAU EXCLUSIV, este desenat în figura c CONSTRUCȚIA CODUL k DIN UNUI CIRCUIT DE CONTROL PENTRU и Soluția utilizată de majoritatea autorilor pentru realizarea circuitelor •dc control în cazul folosirii codului k din n în codarea funcțiilor sistemului autotestabil [ ] [ ], [ ] etc constă în efectuarea unor serii de transformări de coduri, utilizîndu-se circuite autotestabile Astfel, inițial codul k din n este transformat în codul din utilizînd o rețea de porți ȘI auto-testabilă, iar apoi acesta este transformat în codul /> din y> pentru care rezultă o structură de circuit de control mai simplă în figura se dă un exemplu în acest sens Circuitul de control conceput astfel prezintă dezavantajul costului ridicat, datorită numărului marc de porți logice componente O altă soluție este utilizabilă în cazurile particulare de verificare a configurației semnalelor de intrare în circuitele de control dacă aparțin codurilor k din k, k din k + și (k -f- ) din ( k + ); această variantă -conduce la o realizare pe două niveluri a acestor circuite de control, deci la o soluție mai ieftină în lucrarea [ ] este indicată o metodă de transformare a codului k din n în codul din p, unde p poate fi , , sau , iar ulterior, utilizîndu-se o rețea de porți SAU, într-un cod de tip din , pentru care se construiește ușor un circuit de control în continuare este dezvoltată o metodă de realizare a unui circuit de control pentru codul k din n, fără a mai apela la diferite transformări de coduri ca în soluțiile indicate anterior n vor trebui să indice la ie- A Structura circuitului de control / Г , " " ' Se consideră circuitul de control realizat dintr-un număr de celule conectate în cascadă reprezentat în figura Fiecare celulă primește ca semnale de intrare semnalul de ieșire al celulei precedente șioȚntrare primară, xt Cu acest aranjament celulele C -sirile lor numărul de variabile de la intrările primare cu valoare logică „ ", evidențiind dacă semnalele de la intrările primare aparțin codului k din n Va trebui ca rețeaua de celule concepută în acest fel să fie de tip autotestabil, pentru a îndeplini condițiile unui circuit de control Prin urmare, semnalele de ieșire ale lanțului de celule vor aparține unui cod intern definit pe mulțimea a k cuvinte, Z = {Zo, Ze}, stabilite in modul următor [ ]: ф Atunci cînd rețeaua de celule Cț este în starea Z$, înseamnă că nici ш semnal la intrările primare nu are valoarea logică ,, Г'; în starea Zx — — un semnal la o intrare primară are valoarea logică „ “ etc , iar in starea la mai multe de k intrări primare semnalele de intrare smt de valoare Circuit de control pentru „ din ’ Уі У Xj X *n Fig Circuit de control autotestabil cu structură celulară pentru codul Л din я^ Fig, Circuit de control autotestabil pentru codul k din n (exemplificare pentru codul din ) X)= Xi = x;= Xi = Fig Graful tranzițiilor stărilor circuitului de control pentru codul k din n logică „ " Graful tranzițiilor stărilor sistemului astfel conceput este indicat în figura Pe graf sînt evidențiate tranzițiile posibile și anume: — dacă = , -> Zjt / G ( ,l, £,) - dacă „ = ,M i Zlt Z sau Z ș a m d Acest comportament corespunde unui numărător, numai că informațiile „ " numărate sînt dispuse topologic și nu secvențial ca la numărătoarele secvențiale După cum s-a evidențiat, atunci cînd configurația semnalelor de intrare, xit aparține codului k din «, ultima celulă C„va trebui să realizeze configurația Zk Dimpotrivă, dacă numărul de biți „ “ din configurația semnalelor de intrare este diferit de A, ieșirea colului va evidenția configurația Z(, i ultimul coincizînd cu semnalul xn, Vi Vi У? Уз Уз Fig Schema-bloc a circuitului Xn-k + de control autotestabil cu structură qchdc-ră pentru codul Л din я ii Conform grafului tranzițiilor indicat in figura , aceste trei ieșiri ale circuitului de control vor lua in funcționare normala două combinații de valori, astfel incit codul de ieșire al circuitului de control proiectat in acest fel va fi: СЯ, = {З’п- -Ѵи} {(K ), ( , } ( ) Ieșirile circuitului au fost stabilite astfel incit să fie îndeplinite relațiile de definiție ale unui circuit de control ( ) și ( ) B Structura celulelor С,- Structura fiecărei celule C( trebuie stabilită astfel incit rețeaua de celule să sintetizeze semnalele indicate mai sus și să fie ca insăși autotes-tabilă Prin urinare, ar trebui ca oricare defectare care va afecta o celulă Ct să fie detectată la ieșirea celulei respective și, totodată, defectările individuale ale fiecărei celule să se propage la ieșirea sistemului de celule în soluția adoptată aici, se disting trei tipuri dc celule C{, după cum ■r ii — k Anterior s-a propus ca fiecare dintre aceste celule să fie realizată cu circuite logice combinaționale independente în scopul unui control mai facil al autotestabilității lor Proiectarea schemelor electrice ale celulelor Ct se bazează pe următoarea teoremă [ ] referitoare la autotcstabilitatea circuitelor sintetizate pe baza sumelor de implicanți primi: Teorema O funcție logică/, realizată sub formă de implicanți primi, este testată într-o funcționare normală a sistemului care o sintetizează, dacă și numai dacă pentru fiecare implicant prim sînt îndeplinite condițiile: (a) condiția dc existență: există cel puțin un vîrf activ al funcției / inclus în acest implicant prim; (b) condiția de dezvoltare: orice dezvoltare în raport cu o variabilă care definește un implicant conține ccl puțin un vîrf activ pentru care funcția / este „ " Se acceptă următoarea definiție: Fie o funcție logică / de n variabile л(, realizată de un circuit combi-național; se numește vîrf activ orice configurație a variabilelor r,- care constituie semnalele de intrare în circuit, efectiv aplicate în funcționare normală (configurația aparține codului dc intrare) Iе Cazul celulelor Ct, ie [k -ț- , w — Л] Fiecare celulă C( are k + intrări, provenind de la celulele precedente (fig , ), și o intrare primara Dacă la intrarea circuitului dc control apar toate configurațiile codului din « controlat, atunci celula Ct primește in funcționare normală ca semnale de intrare oricare dintre semnalele (Zp ,v() în configurația: s І apare la intrai ea celulei Ct dacă j semnale xt la intrările primare ale celor celule în amonte de celula Cf iau valoarea „ ", iar intrarea primară a celulei C( este „О'* ș a m d Aranjamentul dat de expresia ( ) reprezintă mulțimea viiturilor active ale funcției logice realizată de celula Ct • Semnalul dc ieșire v® al celulei C{ este o funcție de semnalul — la ieșirea celulei С, і — și semnalul xit prezent la intrarea primară Atunci cînd se realizează starea Za, semnalul de ieșire у°{ este „ " (matricea ), iar celelalte semnale vor fi „ " Pentru celelalte stări Zj ale celulei C, semnalul y? va fi „ " și un alt semnal yi va fi „ " Pentru funcția de ieșire v? realizată de celula Ct, în conformitate cu relațiile ( ), există următoarele vîrfuri active: ( ) Pe baza matricei de definiție a configurațiilor Z^dată de ( )', funcția у , —► și —* Vîrfurile active deduse în conformitate cu relația ( ) sînt: Se întocmește diagrama Karnaugh (fig ), de unde rezultă ecuația pentru realizarea funcției de ieșire, yț Se observă că realizarea dată de ecuația ( ) pentru funcția de ieșire yi este de tip autotestabil, deoarece sînt îndeplinite condițiile de existența și dezvoltare ale teoremei • Funcția de ieșire y\ va fi de asemenea o funcție de л ariabilele vL, și xt Implementarea acestei funcții este realizată de asemenea de ecuația ( ), căci y'f va fi ,, “ în aceleași situații ca și yj Pentru această funcție, în conformitate cu relația de definiție ( ), vîrfurile actixe *' Itfcî >t-i» Ш»! ДО» ( , , ), ( , , ,), ( , , ), (i,o,i)}; (з зо) analizindu'se condițiile teoremei se observă că realizarea dată funcției y^dc ecuația ( ) va fi de asemenea de tip autotestabil și pentru acest a se dă un exemplu de celulă astfel sintetizată pentru i e [Л + , n — Л]: a — sinteza funcției y^ ; — sinteza funcției y^> » & !]♦ Fig Schema celulei Cț, £ e [& n — Л] pentru cazul к = , n = Căzui celulelor Ct, i > n — ) intrări de la celula precedentă k Comparativ cu celulele analizate aceste celule au un număr mai mic de ieșiri (fig ) Astfel, pentru celula C„ a+i semnalul de ieșire jy° fc+ nu este necesar, deoarece va fi întotdeauna „ "; de asemenea, nici pentru celula C„ s+ nu sînt necesare semnalele de ieșire JXn—fc+ deoarece ele nu sînt purtătoare de informație ș a m d Analizîndu-se numărul de intrări în fiecare celulă, se constată că: — pentru celula Cn fc+ vor fi (k + ) intrări de la celula precedentă și o intrare primară; • — pentru celula С„ л+ vor fi k intrări — ieșirile celulei C„ »+i — și o intrare primară ș a m d De menționat că pentru aceste celule configurația (Zo, ), nu va aparea niciodată într-o funcționare normală; în caz contrar ar însemna că există mai puțin de k biți „ " în vectorul semnalelor de intrare al circuitului de control căutat De altfel, acesta a foSt raționamentul pe baza căruia s-au suprimat din structura celulei semnalul de ieșire yn—*+i Celula Cn-fc+t va primi la intrări, în funcționare normală, una dintre configurațiile: (Zp ), ѴУе [Ь ( ) (Zp i) Ѵле [°« л — ] Funcțiile de ieșire yjt-n-i / > !• vor fi definite pe mulțimea •{>*-«’ v’ fc, din aceleași considerente ca în cazul celulelor C ( ( )}j ( M) JT d= Нріи^еЙаВД™ ^ blC • ieșirii cu indicele J cel mai j intrare nu То/ fi niciodată înTonfiguratiaTz^ )₽/е semnalele gura t ie apare atunci rînrl ь • g • И*’ de°arece această confi- «ГІ ІІ î - L cSiltUrtiac “ sînt • CG U e‘ On Suratide semnalelor de intrare în această celulă , și va fi o funcție de я—ij ( ) intnr^cM^ de la iiagrama de tranzHie definită anterior (te ) e în prezența semnalelor de intrare corecte semnalul -a) două tranziții, -> sau Ук Xk b) ■ ■ Xk c) Diagrame Karnaugh pentru sintaxa celulelor C(, • Уг Уз vor fi afectate de prezența unui defect în una dintre celule Astfel, o blocare în „ “ a uncia dintre ieșirile celulelor C se va propaga pînă la ieșirile rețelei celulelor, iar corespunzător realizărilor date acestora semnalele V), v , nu vor aparține mulțimii, { , , } sau { , , } ci vor îndeplini relațiile de apartenență: sau b’j Л Va}e{ , , } {Zi> Лэ» }, după cum x„ este „ " sau „ ", ■ у * Blocarea in „Г' a uneia dintre ieșirile celulelor va determina ca toate ieșirile celulelor următoare să fie „ ", ceea ce înseamnă că mulțimea ieșirilor celulelor vor fi în configurația Zs, care semnifică starea eronată: semnalele de la ieșirea lanțului de celule vor îndeplini condițiile: după cum л-, este „ " sau „ ", ceea ce conduce la o indicație de defectare î i sistem CONCLUZII Introducerea in § — a unui model general de definire a sistemelor total autotestabile a permis prezentarea și analiza într-o manieră unitară a diferitelor structuri date acestor sisteme, ceea ce poate constitui un îndreptar util de proiectare S-a arătat că funcția de supraveghere a sistemelor autotestabile este realizată de către un circuit de control în § au fast analizate problemele concepției circuitelor de control pentru codurile cu bit de pautate și respectiv к ti i h, atunci cînd combinațiile semnalelor de intraref» eiremt urvolută și Amplificată o metodă de lucru, utilă, in vederea sintezei unui circuit de Control cu porți logice SAU EXCLUSIV pentru cazul codului eu bit de paritate in tituația cind combinațiile semnalelor de intuire nu acoperi toate cuvintele posibile ale codului , în & a fost sintetizată o structură celulară pentru un circuit dc eontJl al «tluLî î din " alun lud ta intoto n euiiuln «par «j• combinațiita l«uibile ale codului Cwnparativ cu solului, d ,t or|l logica ), semnalul dc (aci al sistemului pe intrarea C și ieșirea pe L( Pe perioada, funcționării normale semnalele „Scan Clock A" și semnalul dc tact pe В sini tixaieîn „O Memorarea datelor din sistem sc realizează la revenirea, in „O a semnalului de Iaci (fig ) Pentru a configura această structură ca element al unei căi de acces serial semnalul dc tact ]>c intrarea C trebuie blocat in „О', acționîndu-se asupra intrării A Ca urmare, valoarea logică existentă pe intrarea SOI sc încarcă in circuitul bisfabil Lt, la revenirea in , O a intrării Transferarea acestei informații — în continuare - în Instabilul L se realizează la revenire in „O" a semnalului dc tact aplicat pe intrarea B Realizarea unei testări automate in tehnica LSSD presupune urmă toacele etape: (a) sc testează registrele tip SRL (fig ), transformindu se in mod •serial o secvență logică cunoscută; fo) se testează blocurile combinaționale, transfer indu*se la intrarea lor vectorii dc test necesari prin intermediul unui registru de deplasare - -— sc in frații; (c) sc citește vectorul semnalelor rezultate la ieșirea blocului cond>i* național, extrăgîndu-sc informația în mod serial prin intermediul registru* lui de deplasare; (d) se repetă acțiunile descrise la punctele b și c, pînă la epuizarea programului dc test Principalele avantaje oferite de tehnica de proiectare LSSD sînt: — eliminarea dependenței bunei funcționări a sistemului de variabile dinamice (timpi dc creștere și cădere a nivelurilor de semnal, timpi de propagare etc ); posibilitatea de a întrerupe bucla de reacție — prin trecerea cir* euitului in regim scan-fraih — eliminîndu-se o cauză majoră a dificultăților întîmpinate în activitatea de diagnoză pentru circuitele logice secvențiale Ca dezavantaje a acestei tehnici se pot cita: Fig Utilizarea tehnicii LSSD {Level*Sens»t»vo Scan JJesign) pentru implementarea autotestabilității a — descompunerea unul circuit complex In vederea testlrli automate; b — utlliraua structurilor SRU В - b) - creșterea numărului dc porți logice necesare implementării funcției impune o serie de res-lriCtii dCiSCMHtatea dc a executa tesle la viteza maximă a circuitului investigat, deci de a pune în evidența defecte dinamice Această tehnică de proiectare permite creșterea observabilii ații și controlabilității circuitelor integrate de tip LSI, ceea ce atrage utilizarea acestor structuri în sistemele de înaltă fiabilitate — in genera și in cele dc tip tolerant la defectări, în special BIBLIOGRAFIE ABAZI, Z ; THEVENOD ,P » Test albatoire de cartes ă microprocessextr, Rapport LAAS ИЗ I * > * • ANDERSON, D ; METZE, G , Design of Totally Self-ChecMng Check Circuits for m &ut o/n Codes, IEEE Trans on Computers, C- , , ANDRE VS, D M , Using Exccutable Assertions for Testing and Fault Tolcrance, Digest of Papers FTCS- ; Ninth Annual International Symposium on Fault Tolerant Computing, Madison, June, , p — ARMSTRONG, D B , A Deductive Method for Simulating Faults in Logic Circuits, IEEE Trans on Computers, C- , , AVIZIENIS, A ; GILLEY, G C ; MATHUR, F P ; RENNELS, D A ; ROHR,'J A ; RODIN, D K , The STAR Computer : An Investigation of the Theory and Practice of Fault Tolerant Computer Design, IEEE Trans on Computers, C- , , AYACHE, J M ; AZEMA, P ; DIAZ, M , Observer : A Concept for On-Line Detection of Control Errors, Digest of Papers FTCS- , Ninth Annual International Symposium on Fault Tolerant Computing, Madison, , p — BACIVAROF, ANGELICA-BEATRICE, Sisteme tolerante la defectări, Teză de doctorat, Institutul Politehnic, București, ; BENNETS, R G , Design of Testablc Logic Circuits, Addison-Wesley Publishing Со, London, BOURICIDS, W G ; ILSIEN, E P ; ROTH, J P ; SCHNEIDER, P R , Algei itim fer Detection of Faults in Logic Circuits, IEEE Trans on Computers, C- , , CAMPBELL, R H ; HORTON, K M ; BELFORD, G C , Simulaiicns of a Fault-Tclerant Deadline Mechanism, Digest of Papers FTCS- , Ninth Annual International Symposium on Fault-Tolerant Computing, Madisson, , p — CARTER, W C ; DUKE, K A ; JESSEP, D C , A Simple Seif Testing Decodor Ckeching Circuit, IEEE Trans on Computers, C- , CĂTUNEANU, V M ; BACIVAROF, ANGELICA-BEATRICE; BACIVAROF, I C , Metode de testare automată utilizate în industria calculatoarelor electronice, în Probleme de automatizări, , Editura Academiei R S România, , p — CĂTUNEANU, V M ; BACIVAROF, ANGELICA-BEATRICE, Echipament de testare automată a componentelor electronice, Metrologia aplicată, , , p — CHANDRAMOULI, R , On Testing Stuck-Open Faults, Digest of Papers FTCS, -th Annual International Symposium on Fault-Tolerant Computing, Milano, , p — - , W^I^N* J* ^ G ; METZE, G , Fault Diagncsis of Digital Systems» CHUNG, F R K ; LEIGHTON, F T ; ROSENBERG, A L , D CGEEES : Л Methc-dology for Duigning Fault-Toltrant VLSI Proccssor Arrays, Digest of Papers, FTCS -th „ symP°si«"’ Fault Tolerant Computing, Milano, , p - CLANCY, C Quahlațtvf llcasoning in Electronic Fault Diagnosis, Electron Eng , , , , p — DENT, J J , Diagnostic Enginccring Rcquircments, Proc AF PS, n - EDWARDS, C R , J he Design of Jiasily Tested Circuits Using Mapping and Spectral Techmques, Che Radio and Electronic Engineer, , , , p, — FRIEDMAN, К AL, Diagnosis of short circuit faults in combinat ionul circvdts, IEEE Trans on Computers, C- , , FCEXTES, A ; DAVJD, R ; COURTOIS, B , Testing of DA MS, Digest of Papers FTCS, -th ftandom Tesling Versut Deterministic Annual International Symposium on Fault Tolerant Computing Systrms, Vienna, Austria, , p - , IțjlXXARARA, H ; SHIMOKO, T , On the Acceleration of Test Gcneration Algorilhms, D gest of Papers FTCS -th Annual International Symposium, Milano, , p — GEFFROY, J C , Test en Hgnc et sccurîtâ des systimes logiques, FUniveniU Paul Sabatier» Toeloose, France, GIRARD, E ; RALLT, J C ; TULLONE, R , Les methodes probabilietes de generat ion des sequences de testesh'ffia/icn de l’eficacite et de la longueur des sequences, Ress techn Tbomson CSF, , GIRARD, E ; RAVLT, J C ; TULLONE, R , La simulation des circuite legiques : pro-bleutes et mise en veuvre, Rcv tech Thomson CSF, , GOLAN, P ; NOVAK, O ; HLAVICKA, J , Pseudoexhaustive Test Pattern Generator wd/Л Er conced Fault Ccveragc, Digest of Papers FTCS, -th Annual International Були posium on Fault Tolerant Computing Systems, Vienna, Austria, , p — KATSUKI, D et all , PLVRIBVS— An Operațional Fault-Tolerant Mul tiprocessor, Proceedings of the IEEE, , oct , , p — KU, C T ; XLASSOX, G M , The Boolean Difference and Multiple Fault Analy:;-, IEEE FVJBVARARA, H-; SHIMOKO, T J ; ROBACH, CH ; SAVCIER, G , Processor Tcstability and Design Cor se- LEBRUÎ quences, IEEE Trans on Computers, , LEVENDEL, J ; MENXON, P R , Fault Simulation, Digest of Papers FTCS, -th Annual International Symposium on Fault Tolerant Computing Systems, Vienna, Austria, , p - MAROUF, M A ; FREED^IAX, A D , Efficient Design of Seif Checking Chechcr: fer m o t of n Codoș, IEEE Trans on Computers, C- , , IDDLETOX, T , Funcțional Test Vector Generation for Digital LSI ^V LSI Drcices, Proceediugs ci International Test Conference, Philadelphia, , p — MOALEA, M , L’Approche fcncticnnelle dans la verification des systemes infc; Institut Xational Polvtechnique de Grencble, France, OHTSUKA, X et all , A -Mbit CMOS EPROM, IEEE J Solid-State Circuiis SC- , , , p - PARHOMEXICO, P P (redaktor), Osncvî tehniceskoi diagnostiki, Izd Energia, Mostra, PETERSOX, W W ; WELDOX, E J , Errcr-Ccrecting Codes, MIT Press, Cambndge» RAULT, J C , Bibliographie sur le detection et la localisation des de'fauts dens Ies circuite logique, Rapport Thompson CSF, RAI LT, J C , La detection et la localisation des de'fauts dans Ies circuits logiqzics, D gest of Papers FTC- , The Annual International Symposium on Fault Tolerant Ccmputirg ROIMXSON, J-P-, Segmente# Testing, IEEE Trans on Computers, C- , S p — ROTH, J P , Hardware Vcrification, IEEE Trans on Computers, C- , , , p ROTH> JJPo Computer Logic, Testing aud Verifica!ion Computer Scicrce Press, счсшлс> SZJGENDA, S A,; THOMPSON, E W Moeiellittg an# Digital Simulaticn fer De^g» Verihcation and Diagnostic IEEE Trans on Computers C- , , p l -X> TOV, W N , Fault-Tohrant Design of Local ESS Processcrs, I receedmgs of tht IEEE» ui s, IEEE Trans on Compul e exemplu, pentru sistemul PRIME [ ] sc pornește de la un procesor sigur", completîndu-sc treptat configurația de lucru după „trecerea testelor de diagnoză în cazul sistemului PLURIBUS reconfigurarea este realizată sub controlul unui sistem dc operare, urmîndu-se o secvența de etaje prestabilite în acest mod sînt adăugate treptat sistemului reconfi- de comutare adecva* De gurat — după ce sînt testate și găsite ca fiind corespunzătoare — un generator de tact, un procesor, o unitate de memorie, bus-uri și module de intrare-ieșire Reconfigurarea se realizează de un siste menționat că în cazul sistemelor PLURIBUS și FTMP reconfigurarea sis- temului software utilizează unele facilități ale comutației de tip hardware, în schimb, la sistemele SIFT și JPL STAR mecanismele de comutație sînt implementate atît hardware cit și software La conceperea sistemului trebuie avut în vedere ca sistemul de comutație să nu fie activat în mod accidental Astfel, accesul la comutatorii de reconfigurare ai sistemului PLURIBUS este controlat de un mecanism de tip passward, asigurîndu-se securitatea funcționării sistemului De menționat că un sistem trebuie să dispună de facilități pentru o reparare manuală chiar și în condițiile în care el are posibilitatea unei reconfigurări dinamice sau spontane Restaurarea integrală a capacității de tolerare a defectărilor presupune o utilizare optimală a resurselor disponibile, ceea ce poate fi realizat numai manual Pentru sistemele de telecomunicații ESS No A și TANDEM , care trebuie să asigure un serviciu de ore din , ca și pentru alte sisteme de mare răspundere funcțională au fost prevăzute și posibilități de mentenanță manuală in paralel cu funcționarea oii-liiie Aceasta este realizată mai ușor pentru sistemele care funcționează duplex sau care au im grad de redondantă ridicat cum sînt sistemele ESS, PLURIBUS și TANDEM) O problemă specială a intervenit pentru unele dintre primele variante ale unor sisteme tolerante la defectări (PLURIBUS ș a ): repararea manuală era mult îngreunată datorită lipsei de informații referitoare la defectări, mascarea excesivă conducînd la pierderea evidenței defectărilor sistemului De aici a rezultat necesitatea — pentru generațiile următoare ale acestor sisteme — prevederii unei culegeri independente de date privind comportarea eronată a sistemului, avînd ca scop facilitatea mentenanței manuale a acestor sisteme MODEL AL RECONFIGURĂRII ÎN SISTEMELE MULTIPROCESOR INTRODUCERE Tehnicile de implementare a toleranței la defectări utilizate in sistemele uniprocesor pot fi aplicate și în cazul sistemelor multiprocesor Apar însă diferențe in realizarea diagnosticării defectărilor și a restabilirii funcționării în timp ce în sistemele multiprocesor aceste operații pot fi realizate de softvvarc-ul sistemelor rămase în funcțiune, în cele uniprocesor restabilirea automată a funcționării este controlată prin hardware, deoarece procesorul defect nu mai poate executa procesul de software pină ce nu este reparat Așa cum s-a menționat , o modalitate de realizare a restabilirii funcționării sistemului la apariția unei defectări o constituie reconfigurarea acestuia Pentru sistemele uniprocesor, reconfigurarea este realizată de o structura redondanță dc comutație (v capitolul ) în sistemele multiprocesor apariția unui defect la un procesor atrage totodată și întreruperea conexiunilor cu celelalte procesoare, iar restabilirea bunei funcționări înseamnă nu numai înlocuirea procesorului defect, ci și restabilirea conexiunilor acestuia cu celelalte procesoare din lanț în cele ce urmează, pornindu-se de la o analiză topologică a rețelei dc procesoare și utilizîndu-se formalismul din teoria grafelor [ j se dezvoltă un model de implementare a reconfigurării unei rețele multiprocesor, care va fi optimală din punctul de vedere al costului, acceptînd un număr minim dc rezerve pentru tolerarea unui număr dat de defecte Nodurile grafului reprezintă componentele hardware — în cazul studiat procesoare (calculatoare) —, iar arcele — liniile de comunicații intre procesoarele componente, de exemplu rețele de comutație sau bus-uri Un astfel de graf este un graf topologic și descrie sistemul din punct de vedere structural, în timp ce grafele care descriu modelele structurale de fiabilitate sînt srafe funcționale IPOTEZE SI DEFINIȚII L ; > Se consideră un sistem multiprocesor care conține procesoare cu caracteristici identice Prin urmare, nodurile grafului considerat pentru descrierea structurii sistemului sînt de același tip, iar arcele — nedirecționale Apariția unui defect în sistem este reprezentată de înlăturarea nodurilor și arcelor din graf, corespunzătoare procesoarelor afectate Pentru dezvoltarea modelului se adoptă în continuare următoarele definiții: - / Definiția Sistemul în configurație minimală este sistemul care realizează performanțele cerute, dar nu tolerează nici un defect; ■ Definiția Un graf de bază, Gb, este graful configurației minimale a sistemului Sistemului cu structură redondantă, care poate tolera un număr de defecte, i se atașează graful Gr, ce va conține în structura sa pe Gb ca un subgraf al său Definiția Un graf Gr este redondant, dacă îl conține pe G ca un subgraf al său Deci, în structura lui Gr există la orice moment de timp un subgraf particular, Gb, care este izomorfic lui Gb, Gb' — Gb Graful Gr este astfel privit ca o realizare tolerantă la defectări a sistemului reprezentat de Gb, iar Gb' reprezintă un sistem activ angajat în procesarea datelor la un moment dat Partea rămasă din graful Gr> Gr — Gb', reprezintă componentele neutilizate (rezervele) sau neutilizabile (defecte) Astfel, fiecare nod x al fiecărui graf Gr poate fi văzut ca avînd trei stări posibile: activă, x e Gb' rezervă r r , defect } X " ~ ( ) ( ) Se presupune că sistemul analizat conține un mecanism pentru auto-diaguo â continuă Dc exemplu, fiecare procesor poate fi testat de unul sau mai multe procesoare vecine Odată ce este identificată o defectare a unui nod activ, sc inițiază un proces dc restabilire care realizează înlocuirea grafului Gh‘ cu un alt graf Gb" — Gb, ce nu conține nici un nod defec: Aceasta înseamnă că, atunci cînd Gb' conține k noduri defecte, cel puțtn Â' noduri în rezervă trebuie trecute în stare activă și incluse in Gf Modalitatea in care este determinat noul graf activ, Gb", constituie strategia de restabilire adoptată în cele ce urmează restabilirea este privită ca un proces dc reconfigurare în jurul nodurilor defecte Schimbările posibile în starea unui nod sînt ilustrate în figura în continuare se introduce conceptul de graf „k tolerant la deiectăr?’ Dcfinîlia Graful Gr este Л-tolerant la defectări, dacă eliminarea oricăror k noduri și a arcelor conectate la aceste noduri conduc la un graf izomorfic lui Gb sau care îl conține pe Gb Procesul de restabilire implică o cantitate considerabilă de informație transferată de-a lungul arcelor grafului De exemplu, un nod în rezervă, r, activat pentru înlocuirea unui nod defect, x, trebuie să primească toată informația, definind atît funcțiile lui x cît și starea acestuia la ultima testare cînd era în stare de bună funcționare Informația este transferară lui г de către x sau de un alt nod care memorează starea lui x (de exemplu, un sistem supervizor) Numărul de noduri fără defecte, a căror stare sau identitate este schimbată atunci cînd se formează G" din G‘ se apreciază ca o măsură a timpului de restabilire și conduce la următoarea definiție, necesară în dezvoltarea ulterioară a modelului D [iniția Graful Gb este posibil de restabilit prin z modificări din G,, adică este de tip Z-SR, dacă graful Gr este Л-tolerant la defectări, și se poate restabili prin orice defect care afectează un număr de neoptimală cu două noduri în rezervă, S, și S Gradul maxim al unui nod este în acest caz egal cu Micșorarea numărului de arce incidente la un nod a atras introducerea unui nod suplimentar Graful din figura -f este o realizare -FT / -SR a lui Cr , care — așa cum este demonstrat în Г ] — conține un număr minim de arce Se observă că această realizare are gradul cel mai mic al nodurilor Gradul maxim al unui nod este în acest caz egal cu în proiectarea unui astfel de sistem reconfigurabil apar de soluționat problemele privind numărul de rezerve, gradul maxim al unui nod și nu pașilor de restabilire Construirea unui graf corespunzător pentru un sistem k-FT / t-SR este dificilă, ca de altfel și calculul parametrilor k și t atunci cînd se consideră un graf anume Problema poate fi abordată în două moduri și anume [ S : ( ) Se pot considera o serie de proprietăți ale grafelor în vederea simplificării analizelor referitoare la posibilitățile de reconfigurare la defectarea nodurilor; ( ) Grafele date se transformă în grafe ușor de analizat, astfel că proprietățile de tolerare a defectărilor vor fi evaluate pentru aceste grafe simplificate Astfel, prin adăugarea — după anumite reguli [ ] — a unor arce și noduri, grafele studiate pot fi transformate în grafe-linie O asemenea abordare permite proiectarea facilă a unui sistem de tip k-FT / t-SR Sistemele k-FT / t-SR sînt sisteme cu noduri de grad inferior comparativ cu sistemele corespunzătoare de tip t-SR optimale, ceea ce permite o realizare fizică lipsită de dificultăți, dar cu dezavantajul unui timp pentru restabilire mai mare IMPLEMENTAREA TOLERANȚEI LA ERORI CU MIJLOACE SOFTWARE INTRODUCERE Elaborarea unei strategii de tolerare a defectărilor atît în cazul sistemelor hardware (materiale), cît și al celor software comportă două etape consecutive — tratarea erorilor, destinată să elimine erorile privind funcționarea sistemului,și tratarea cauzelor erorilor, destinată să asigure că aceste erori nu vor fi reactivate Analiza următoare va avea în vedere sistemele software Implementarea tratării erorilor poate fi realizată în două moduri: (a) prin rtco/cn;- si î~e а unei erori într-un astfel dc sistem o problemă importantă este menținerea nealtcrată a stărilor anterioare ale sistemului în vederea restabilirii stării dc funcționare a acestuia Tehnicile de error recovery au fost abordate dc mai mulți proicctanți de sisteme tolerante la defectări în cele ce urmează se vor analiza succint aspectele specifice acestor tehnici în prima parte a acestui paragraf se vor studia măsurile care pot fi adoptate într-un sistem pentru transformarea unei stări eronate intr-o stare necronată, urmînd ca în continuare să fie evidențiate mecanismele procesului de restabilire a sistemului în abordările următoare vor fi avute în vedere defectele de concepție incluse direct în produsul de software Termenul de concepție este utilizat aici în sens larg și cuprinde de fapt diferitele etape ale dezvoltării unui produs de software: specificare, concepție, codările și validările efectuate în cadrul fiecărei etape Dacă se consideră un produs de software (program), defectele susceptibile să-l afecteze pot fi: • interne programului, adică referitoare la datele și instrucțiunile sale; • externe programului, adică privind interacțiunile sale cu alte produse de software; se disting două categorii principale de defecte externe: apelarea unui program în afara specificațiilor sale și respectiv, realizarea necorespunzătoare a serviciului procurat printr-un alt program (inclusiv a procedurilor la care face apel) Defectele de concepție interne programului pot avea manifestări multiple și imprevizibile Rezultă că toleranța la defectele interne poate fi aplicată tuturor defectelor de concepție și realizare care au la bază o specificație comună, nefiind deci bazată pe ipoteze particulare asupra erorilor, sau — mai exact — nu se fac ipoteze privind relația dintre defect și eroare Toleranța la defectele externe presupune dimpotrivă identificarea apriori a naturii erorii Toleranța la defectele interne asigură un mijloc de evitare a defectărilor, deci de împiedicare a propagării erorilor în programul unde a apărut defectul, în timp ce toleranța la defectele externe are ca scop evitarea afectării unui (sub)program de către erorile provenind de la alte (sub) programe cu care acesta interacționează Tehnicile de tolerare a defectelor interne nu pot asigura protecția împotriva intrărilor eronate (în afara specificațiilor programului) în plus, ele au ca scop să evite „defectarea" (sub)programului, fără ca aceasta să fie însă posibilă in toate cazurile Este deci necesar, ca toate celelalte (sub) programe să fie protejate contra acestor defectări, pe care ele le vor resimți ca excepții ; rezultă că toleranța la defectele interne și cea la defectele externe nu numai că nu se exclud reciproc, ci sînt chiar complementare MĂSURI PENTRU RESTABILIREA FUNCȚIONĂRII SISTEMELOR LA APARIȚIA ERORILOR Detecția erorilor într-un sistem dat impune — ca o primă măsura -eliminarea lor Există două cazuri distincte: cel al erorilor anticipate și, rCh pectiv, al erorilor neanticipate t Măsurile ce pot ii utilizate pentru restabilirea funcționării sistemului in cazul eforilor anticipate sînt dependente dc sistemul analizat Astfel măsuța cea mai uzuala este utilizarea redondanței în informația procesată de sistem In sistemele de calcul sînt mult folosite codurile corectoare de erori De exemplu, cuvintele de biți din memoria semiconductoare a sistemului TANDEM sînt suplimentate cu biți pentru a realiza corecția unui bit ero-’\at Ș^detccția a două erori De asemenea, programul memorat de sistemul ESS No IA utilizează un cod corector dc o eroare [ ] Programele de testare [ ] a structurilor de date și corecție a acestora — atunci cînd sc evidențiază o eroare — sînt executate periodic sau ori de ci te ori este necesar , O abordare viabilă pentru restabilirea funcționării sistemului în cazul erorilor ncanticipate constă în modificarea stării acestuia, ceea ce poate fi considerat ca un „reset" al sistemului Strategia principală ce poate fi folosită în acest scop plasează sistemul într-o stare predefinită — de pildă, starea inițială a acestuia Asemenea tehnici de „ștergere" pot fi utilizate atît de sistemele hardware, cît și software O altă formă importantă de restabilire după erori implică restaurarea stării unui sistem sau a unei părți din aceasta într-o stare presupusă fără erori Pentru exemplificare, în figura este ilustrată o astfel de strategie, eviden-țiindu-se evoluția unui sistem care a suferit un număr de restaurări ale stărilor sale Liniile întrerupte reprezintă o activitate abandonată, iar liniile punctate — acțiunea de restaurare a stării sistemului Sistemul tolerant la defectări HIVE folosește restabilirea globală la o condiție inițială, utilizîndu-se în acest scop copii back-up ale sistemului software și fișiere ale bazei de date în cazul sistemului ESS No [ ] principalul instrument de restabilire constă în utilizarea unui program de inițializare, responsabil pentru re-setarea structurilor de date Sînt disponibile șase nivele de restabilire La nivelul registrele hardware sînt șterse; nivelurile — apelează structurile de date corespunzătoare ștergerii Restabilirea la nivelul constă in ștergerea tuturor datelor tranzitorii în memoria operativa Pentru ștergerea datelor asociate cu apelurile deja stabilite este ceruta o intervenție manuală De subliniat că, pentru ca o tehnică de restabilire să permită restaurarea unei stări anterioare a sistemului, este necesar sa existe o înregistrare a acelei stări Deoarece prin restaurarea unei stări anterioare se încearcă să se simuleze o „reîntoarcere" în timp, aceste tehnici de restabilire sînt a cum este ilustrat în figura ІѲ , Pentru realizarea unui control complet și explicit al mecanismului ae restabilire, este necesar să existe un interpretor care să asigure operațiile de stabilire, eliminare și, respectiv, dc restaurare a punctelor de restabilire Un avantaj al utilizării restabilirii inverse consta și în faptul că proiectantul sistemului software poate prevedea punctele de restabilire la momcn e-Je procesului pe care acesta Ic consideră ca„ fiind cele mai utile în mod similar, punctele dc restabilire pot fi eliminate atunci emd nu mai sînttu' rc J ' Eliminarea punctului do restabilire R Constituirea punctului de restabilire R? Reg iu про de restabilire Rogi unea ' do restabilita • , • • « • f •? -> Jțv * i r Eliminarea punctului de restabilire Rț Regiunea • • de restabilire R Eliminarea punctului de restabilire R ▼ж Este posibil să se costruiască un mecanism de restabilire a sistemului Ia apariția erorilor care operează independent de utilizarea proceselor, in care caz stabilirea, restaurarea și eliminarea punctelor de restabilire se vor afla in întregime sub controlul interpretorului De exemplu, interpretorul poate stabili în mod automat aceste puncte la intervale fixate în timp Deși o schemă complet automată a procesului restabilirii arc avantajul de a fi „transparentă" utilizatorului, ea nu permite întotdeauna o restaurare perfect concordantă cu structură proceselor analizate Dacă punctele de restabilire trebuie fixate la anumite intervale de timp, devine necesară stabilirea duratei acestor intervale De pildă, fixarea punctelor de restabilire la intervale scurte dc timp va conduce la cheltuirea unei cantități mari de timp pentru recepționarea dalelor de restabilire în schimb, dacă intervalul de timp între punctele de restabilire este prea mare, timpul necesar pentru restabilirea procesului și reprocesare poate fi excesiv de mare Din motivele expuse, devine necesară stabilirea mărimii intervalului de timp între punctele do restabilire, astfel îneît timpul total necesar pentru recepționarea datelor de restabilire, restabilirea funcționării sistemului și reprocesare să fie minim Notînihi-se cu ’,, intervalul de timp între punctele de restabilire, se poate scrie [ |: 'r - ( / )l-' , іл • '’!*•># wi * R • ' f \ unde / este timpul de constituire a punctelor de restabilire, iar ' — timpul mediu intre restaurările punctelor de restabilire • BLOCUL DE RESTABILIRE n- ntPiT ? ? rîlst;'b ilirc a f St /"Irodus [ ] ca o metodă dc realizare a fo-*■ antu a ^ by eJse by else error = ensure by else error I i *=* else by al tornănta> » Fig Л Schema blocului de restabilire» Hg Exemplu de sintaxă pentru blocurile n de restabilire O alternantă ulterioară — dacă există — va fi executată cînd altcr-nanta precedentă nu a putut fi terminată (de exemplu, dacă ea comportă o împărțire prin zero, execuția sa depășește o anumită limită de timp etc ) sau dacăiiu satisface testul de acceptare Totuși, înainte ca o alternantă să nu fie executată, procesul este readus în starea pe care o ocupă înaintea execuției alternantei primare, datorită punctului dc restabilire fixat la intrarea blocului de restabilire în figura este ilustrată execuția unui bloc dc restabilire Execuția unui bloc de restabilire sc desfășoară după cum urmează: — se execută prima alternantă; — la sfîrșitul alternantei este evaluat testul de acceptare; dacă acesta rezultă ca „adevărat", adică rezultatele alternantei sînt acceptabile, atunci blocul de restabilire va fi eliminat Cînd rezultatul testului de acceptare este t fals" sau dacă este detectată o eroare în sistemul de bază, atunci în timpul execuției alternantei are loc o restabilire „inversă": starea programului este adusă’ în mod automat la starea existentă înaintea introducerii blocului de restabilire în continuare se repetă secvența descrisă anterior, cu excepția faptului că în locul alternantei eronate este introdusă cea de-a doua alternantă ș a m d Sistemul de bază, care rulează programele conținînd blocuri de restabilire, are în structură mecanismele de control al comutării algoritmilor, per- Blocul de restabilire precedent Stabilirea punctului de reluare Execuția alternantei primare Execuția testului de acceptare Este satisfăcut testul de acceptare ? Există > alternantă disponibilă Restaurarea punctului de reluar* Execuția alternantei următor Blocul de restabilire Eroare ig* Schema de execuție a unui bloc de restabilire mițînd deci realizarea restabilirii „inverse" Este necesar ca aceste mecanis menute prh S^ul * Р“‘Ы « d= ехв”₽Ь- nErinCi — r: înregistrarea datelor privind restabilirea, restabilirea propriu-zisa și eliminarea punctelor de restabilire atunci cînd acestea nu mai sînt necesare în continuare vor fi evidențiate unele particularități ale mecanismului de tolerare a erorilor bazat pe blocurile de restabilire Principial, blocurile de restabilire pot fi proiectate pentru a realiza oleranța sistemului la defectările algoritmice, atît la nivel hardware cît și la nivel software * într-un sistem, defectele se pot clasifica — conform [ ] — în defecte ale componentelor fizice, cînd respectivele componente nu își îndeplinesc funcțiile prevăzute în acord cu specificațiile, și, respectiv, în defecte algoritmice, care privesc interconexiunile dintre componente La nivel hardware, într-un sistem pot apărea atît defecte ale componentelor cît și defecte algoritmice, ultimele fiind — de exemplu — conexiunile lipsă sau incorecte între componente La nivel software, defectele sînt algoritmice, ele fiind în fapt defecte de proiectare Localizarea și efectele unor astfel de defecte nu pot fi în general anticipate din moment ce ele își au originea în complexitatea — greu de stăpînit — a proiectării unui sistem într-un sistem cu blocuri de restabilire aceste defecte pot fi evitate prin comutarea la următoarea alternantă, cu condiția ca mulțimea circumstanțelor care au condus la defectul respectiv în alternanta anterioară să nu mai apară Tratarea defectului este lăsată pentru diagnoză manuală de tip off-line, favorizată de înregistrările de date privind erorile menționate anterior Precizăm și faptul că un bloc de restabilire poate de asemenea realiza toleranța sistemului și pentru unele defecte anticipate ale componentelor, atît tranzitorii cît și permanente în principal există două căi diferite de utilizare a unui bloc de restabilire Prima și cea mai uzuală situație intervine atunci cînd este necesar ca fiecare alternantă a unui bloc de restabilire să conducă la exact aceleași rezultate în acest caz alternantele trebuie realizate utilizmdu-se versiuni diferite ale aceluiași algoritm sau este necesar să fie proiectate de specialiști diferiți, în scopul evitării aceluiași tip de erori A doua situație corespunde cazului in care blocul de restabilire realizează o reconfigurare a soîtware-ului de tip graceful-degradation [ j In această situație nu mai este necesar ca fiecare alternantă să producă aceleași rezultate Cerința impusă alternantelor în acest caz este ca ele să producă rezultate „admise" de testele de acceptare Astfel, doar prima alternanta urmează să conducă la rezultatele dorite, în timp ce a doua șt următoarele alternante ale blocului vor realiza doar un serviciu cu un grad de degradare crescut Cel mai „degradat" serviciu este realizat de alternanta cea maii sim-nlă care va avea evident probabilitatea cea mai mică a erorilor de proiecta Un'exemplu de bloc de restabilire proiectat în această manieră este prezentat în figura Testul de acceptare pentru acest bloc verifică numai că șirul de transfer se află într-o stare consistentă cnsure ' Consistența șirului by - algoritm caro intui solicitat in poziția optimală «a, șirului else by * algoritm care intră solicitat la sîirșitul șirului else by trimite avertismentul solicitare ignorata else error l:ig , Exemplu de bloc de restabilire Alternanta primară încearcă să plaseze noua cerință dc transfer in po-ziție optimală în șir (de exemplu, pentru a minimiza mișcarea capului de disc) A doua alternantă evită complicațiile primei alternante pur și simplu prin dispunerea noii cerințe la sfîrșitul șirului De menționat că blocul de restabilire realizează o redondanță la nivel algoritmic, dar nu și în structurile de date ale programului Este posibil să se facă o analogie între înlocuirea alternantelor în schema blocului de restabilire și înlocuirea componentelor defecte într-o structură redondantă de comutație implementară în hardware dar, în același timp însă trebuie avute în vedere următoarele aspecte: mai întîi, o componentă hardware este în mod uzual înlocuită cu altă componentă identică din punctul de vedere al proiectării -și construcției, ceea ce nu este de obicei cazul alternantelor blocului de restabilire în al doilea rînd, înlocuirea unei componente hardware este în general permanentă; componenta înlocuită poate fi reparată și menținută în rezervă stand-by atît cît este nevoie în blocurile de restabilire alternantele defecte sînt înlocuite numai temporar și anume a; ha timp cît este necesară execuția blocului; pentru un alt set de date de intrare, prima alternantă, va putea fi din nou utilizată, deoarece este posibil — și se speră — ca noul set de intrări să nu mai conducă la manifestarea defectului Testul de acceptare, după cum sugerează și denumirea, va fi un test de acceptabilitate rezultatelor alternantelor și mai puțin unul de verificare a corecției lor absolute El este destinat pentru luarea unei decizii referitoare la rezultatele furnizate de către alternante Testele de acceptare — strîns legate dc aplicația considerată — pot fi privite ca aserțiuni executabile [ ] De exemplu, cazul aplicațiilor în timp real — pentru care neobțincrea rezultatelor înaintea unei anumite date poate fi considerată drept defectare — poate fi luat în considerare pentru testele de acceptare prin includerea mecanismelor de tip II afeb-dog [ ] Alegerea unui anumit test de acceptare trebuie să fie rezultatul unui compromis între complexitatea și eficacitatea procesului de detecție pe care aceasta se bazbază Astfel, o prea mare complexitate poate conduce la p creștere substanțială a timpului de execuție și adesea face testul mai vulnerabil la defectele de concepție și codare Atunci cînd alternantele unui bloc de restabilire au fost proiectate pentru a produce un software reconfigurabil de tip gracefully degrudation, este clar că testul de acceptare poate fi folosit doar pentru verificarea rezultatelor ultimei alternante, și anume cea mai „slabă" (degradată) Acest fapt a sugerai posibilitatea utilizării unor teste de acceptare separate, pentru fiecare alternau tă în parte, organizate după cum este ilustrat în figura rezultatele furnizate de către alternante — strîns legate de aplicația considerată — M ж % i * * Ъ спмігс ‘ iuîuvArâl; ♦ by cnsuic * еіяс error; • • • / * • w • clsc error Teste dc acceptare multiple în general, sc procedează la un singur test de acceptare, mai ales atunci cînd alternantele produc aceleași rezultate Cum cercetările în acest domeniu sînt încă în faza de pionierat nu există o metodologic unitară de proiectare a testelor de acceptare pentru fiecare problemă specifică, dezvoltîndu-se teste de acceptare particulare De subliniat că testul de acceptare nu trebuie privit numai ca mecanism de detecție a erorii în sistem, ci el permite și desfășurarea algoritmilor din blocul dc restabilire Mai mult, noile teste scrise de programatori pot fi incorporate în alternante prin intermediul declarațiilor de tip assert [ ] Ca orice sistem care realizează o tolerare a defectărilor prin utilizarea unor structuri redondante, folosirea blocurilor de restabilire conduce la timpi de rulare superiori comparativ cu cazul programelor netolerante la defectări Dar costurile ridicate, necesitatea de testare și validarea apriori a programelor fiabile netolerante la defectări a condus la concluzia [ ] că folosirea blocurilor de restabilire constituie o metodă eficace de reducere a acestor costuri Timpul suplimentar cerut de blocurile de restabilire depinde de timpul necesar pentru evaluarea testului de acceptare și de modul de implementare a algoritmilor blocului în [ ] se propune o arhitectură a blocului de restabilire care încearcă să micșoreze aceste supracreșteri de timP în încheiere, metoda blocurilor de restabilire se compară cu alte tehnici- de tolerare a erorilor ce pot fi utilizate in domeniul sistemelor soft- Tratarea excepțiilor, de exemplu în structura propusa în [ ], este adesea invocată ca o alternativă a blocurilor de restabilire I ar o asemenea tratare poate asigura o restabilire eficientă doar pentru defectele specifice care pot fi analizate și ale căror consecințe pot fi prevăzute integral în contrast cu această metodă, restabilirea de tip „invers impl ă restaurarea completă a stării sistemului, nu doar restaurarea părților eronate ale aTo‘ust metoda blocurilor do restabilire poate realișa o toleranță la defectările neanticipate, din moment ce în cazul restabilirii de tip „invers nu este necesar să se facă nici o ipoteză despre defect și consecmțele «de; rezultă că avem de-a face cu o metodă generala de restabilite De subh-Xt că metodele blocurilor de restabilire și de tratare a excepțiilor trebuie sa fie privite mai degrabă ca fiind abordări complementare și nu concurente, De altfel, există încercări [ ] de combinare a celor două tehnici mențin-’ nate anterior, în scopul realizării unui software tolerant la erori eficient PROGRAMAREA N-VERSI NA Ă Principiul programării ЛГ-versionale constă în execuția în paralel a unui număr impar de variante, denumite versiuni, și furnizarea rezultatului lor unui sistem dc decizie (voter) care efectuează o votare, permițînd atîta timp cît există numai o minoritate de versiuni defecte — să sc considere rezultatul corect Rezultă că programarea V-vcrsională este o metodă de tolerare a defectărilor prin mascarea erorilor; prin analogie cu cazul sistemelor hardware, ea poate fi considerată ca o redondanță de tip static Comportarea unui produs de software trivcrsional este evidențiată în figura De menționat că reîntoarcerea spre versiuni, indicată punctat în figură, simbolizează eventualele acțiuni ce pot fi executate în caz de detecție a erorii: oprire sau reinițializarea versiunii eronate Controlul execuției versiunilor este asigurat prin intermediul unui (sub) program special, denumit controler Acesta comportă structura decizională care asigură coordonarea execuției versiunilor prin intermediul mecanismelor de sincronizare și care efectuează votarea El conține, de asemenea, mecanismele de „acoperire" a versiunilor defecte Pentru implementarea mecanismului decizional prezintă o importanță deosebită vectorii de comparație, utilizați în scopul efectuării unei votări în punctele de decizie, denumite puncte de votare, precum și indicatorii de stare destinați comparației Vectorii de comparație sînt structuri de date reprezentînd o submulțime a stării unei versiuni asupra căreia trebuie efectuată votarea în plus, față de variabilele de comparație, vectorii de comparație trebuie să posede indicatori de stare, care să poată evidenția apariția anumitor evenimente, cum ar fi de exemplu excepțiile Indicatorii de stare pentru comparație au rolul de a indica acțiunile ce trebuie întreprinse după votare; aceste acțiuni sînt condiționate de apariția „ vectorilor de comparație într-un interval de timp specificat, precum și de acordul sau dezacordul vectorilor de comparație Algoritmii de votare sînt specifici fiecărei aplicații Este totuși posibil să se distingă trei mari categorii de algoritmi, în funcție de natura informațiilor asupra cărora se efectuează votarea — informații binare de tip „totul sau nimic", informații numerice și, respectiv, șiruri de caractere versiunii Execuția Execuția versiunii versiunii I Colectarea rezultatelor Votare I Rl* »dc *n‘rai,c Ș* patru de ieșire ale interfeței sînt conectate la M / și Ele recepționează și transmit cuvintele în cod mașină o linie este pentiu comutarea tensiunii de alimentare atunci cînd umtat-a funcțională trece din rezervă în starea activă; i " crociz^cvwrru Ct^° semnale de intrare pe magistrala ro ■ "" ~ nn semnal periodic de sincronizare și Rii- SE - un semnal care forțează unitatea într-o stare inițială standard: - doua nu spre procesorul TARP trimit informația privind starea unității respective Fiecare unitate funcțională este autonomă și conține propriul său generator de secvențe, ca și posibilitatea dc memorare a codului operațiilor curente, operanzilor și rezultatelor Тарр corecta a sistemului este determinată de procesorul FARP, care furnizează si primește toate semnalele dc analiză a modului de funcționare a unităților și bus-urilor Sub controlul său sistemul prezintă doua moduri de operare: standard și recovery • ?Pefaji* Procesorul FARP emite semnalele CLOCK Și «-jNU, atunci cind este inițiat un nou pas în execuția unei instrucțiuni Zece pțiioade ale semnalului CLOCK formează baza de timp a Calculatorului In timpul primei perioade un cuvînt de patru biți, ste-b code codat în cod „ dm ", este emis de TARP spre bus-ul M-O Următoarele opt peiioade smt utilizate pentiu a transmite sau manipula un cuvînt de bytes în cod-mașină în timpul celei de-a zecea perioade se emite un byte, condition code, de către una dintre unitățile funcționale Acest ciclu de zece perioade este necesar din cauza organizării de tip serie-paralel a calculatorului O instrucțiune este executată în doi sau trei pași în primul pas a-dresa instrucțiunii este trimisă de la numărătorul de locații din COP la unitățile de memorii corespunzătoare (ROM și RWM) în al doilea, unitatea de memorie adresată emite pe bus-ul M- codul operației și adresa instrucțiunii tuturor unităților funcționale Unitățile funcționale corespunzătoare recunosc codul operației, memorează adresa și inițiază execuția operației corespunzătoare în al treilea pas se execută instrucțiunea respectivă Primii doi pași solicită fiecare cîte un ciclu-calculator; durata celui de-al treilea pas depinde de instrucțiune și cere , cicli sau mai mult Setul de instrucțiuni — format din instrucțiuni — include instrucțiunile aritmetice, operațiile de deplasare și logice pentru mascarea defectelor Sînt produse și instrucțiuni pentru o serie de facilități pe buclă -și subrutine Există întreruperi care pot fi mascate și testate sub controlul unui program O clasă specială de instrucțiuni este reprezentată ce cele care facilitează toleranța la defectări: aici sînt incluse instrucțiunile de diagnosticare a defectărilor care activează mesajele de stare și logica de localizare a defectărilor din procesorul TARP, sau instrucțiunile care realizează încărcarea cu date a registrului rollback din unitățile^ procesorului TARP în modul de lucru recovery, ori cele care controlează alimentarea unităților de rezervă și dublarea unităților ROM sau a procesoarelor e c Modul de operare corespunzător unui calculator poate fi afectat de o defectare în două feluri Astfel, un cuvînt de date sau o instrucțiune po să'fie influențate în timpul memorării, transmiterii sau procesării, e ec: u va fi un cuvînt-eroare în al doilea rînd, se poate intimp a ca in *®P execuției unei instrucțiuni un procesor sau un modul de mtmori ruhu șj mcsnar — stiu;tcra TMR ар’: Ш \ nivel dc cakxLit'r DATE MEMORI DATE CERERE SOFTWARE DATE CROPROCESOR MEMORII CERERE RESET SOFTWARE ADRESE SI CONTROL CERERE RESET SOFTWARE ADRESE Șl CONTROL ADRESE Șl CONTROL b) — folosirea testelor periodice pentru realizarea \aliditațti elementelor critice și, în primul rînd, a elementelor hardware cu rol impoitant va asigurarea toleranței la defectări , * Fiecare sarcină este asigurată dc către două procesoare in regim dup pe o unitate dc memorie, iar detecția erorilor se realizează prin codurilor de paritate; o altă „copie*' a memoriei sc află în rezena puv- Implementare Monoproccsor Memorie Procesor Hardware externă (memorie) Hard ware externa (procesor) Мопорго» eam Hardware interna Aplicarea strategiei TMR în cazul celor doua arhitecturi analizate a intra în sistemul restabilirilor La apariția unei defectări permanente aceste unități — un „duplex" sau unitatea de memorie — sînt eliminate, sarcinile mai puțin critice fiind abandonate, iar misiunea sistemului este reluată de unitățile valide — al doilea duplex sau a doua unitate de memorie [ ] în figura se prezintă arhitectura sistemului COPRA La nivelul modulelor de comunicații — pentru a face posibilă acoperirea defectelor alocatorului — fiecare procesor posedă un subsistem de avertizare de tip watch-dog cu rolul de a evita blocarea sa abuzivă in cursul unui sebîmb de informație cu o unitate de memorie în plus, pentru identificarea stărilor eronate, atît modulele watch-dog, cît și alocatoarele sînt testate periodic Legat de arhitectura sistemului (fig ) se mai remarcă următoarele • datele prelucrate de procesoare sînt comparate prin intermediul unui comparator asociat fiecărei perechi de procesoare, în timp ce comenzile memoriei elaborate de aceste procesoare sînt comparate de comparatoarele asociate fiecărui modul de memorie; IEȘIRE IEȘIRE olocator» pontate comparație comenzi ACCES ACCES MODUL MEMORIE M MODUL MEMORIE Mi Comparotoore Procesoare Fig І- Arhitectura general* a sistemului COPKA RlHII meaz* aceeași strategic dc identificare a defectărilor (trate )> i î sonsorî BUS A BENDIX X К - biți CMOS Emițătoare Receptoare Interconectare serială */g -/ Structura generală a celei de a doua versiuni a sistemului SIFT: / -j module dc procesare intru-ieșire; P-M - module principale dc pro ceia re; F -■ cmițAlor; R — reerptr, care cere gradul-redondanței n, este executată de n calculatoare cvasisimul-tan; în fapt, aceste calculatoare nu sînt sincrone, avînd fiecare propriul generator de tact; astfel un calculator poate participa la mai multe grupe de h calculatoare corespunzătoare realizării mai multor sarcini Dacă un calculator trebuie să achiziționeze o dată corespunzătoare unei alte sarcini, atunci el va achiziționa datele tuturor calculatoarelor care execută această sarcină și votează asupra acestei date în a doua versiune a sistemului, în cazul apariției unui dezacord în cursul acestei votări, toate calculatoarele care au achiziționat data respectivă sînt capabile să diagnosticheze care unitate emițătoare este defectă în cazul primei versiuni a sistemului, problema diagnosticării se pune doar în raport cu sis temui de comunicație; ea se referă la determinarea provenienței erorii de la un calculator sau de la un element al sistemului de comunicație Sistemul fiind cu structură redondantă, calculatoarele care primeau data puteau să efectueze diagnosticul reîncepînd achiziția acestei date prin utilizarea altor sisteme de comunicație Un vot majoritar asupra diferitelor versiuni ale rezultatelor astfel obținute permiteau să se pună — sau nu in cauză sistemul de comunicații între diferitele sarcini ale sistemului SIFT există una particulară, denumită „executivă", care trebuie executată cu un grad de redundanță ridicat Aceasta impune citirea diagnosticelor elaborate de calculatoare, stabilirea diagnosticului global și modificarea tabelului de alocare a sarcinilor calculatoarelor sistemului Periodic, fiecare calculator va „consulta" acest tabel al calculatoarelor însărcinate ca executive El va putea astfel să determine — prin vot majoritar — sarcina de execuție, partenerii care execută sarcini cuplate cu ale sale, precum și calculatoarele eu sarcini execut ive în figura sînt prezentate sintetic strategiile de implementare a toleranței la defectări abordate în cazul celor doua versiuni ale sistemului SIFT Deci, în ceea ce privește sistemul SIFT, toleranța la defectări este asigurată în principal pe cale software Referitor la arhitectura materială, toleranța la defectări apare implementată în două moduri: arhitecturii Multicalculator Comunicații indirecte partajate Tipul Multiplicator arhitecturii Comunicații directe specifice Partiție Strategie Calculatoare Sistem de comunicați i N M R Detecție/ dinamic Localizare/ Reconfigurare Partiție Calculatoare Strategie II M N R dinamică Implemen- tare Software Software internă externă (calculatoare) a) Implemen- Software internă tare b) Fig Aplicarea procedeelor de tolerare a defectărilor în cazul sistemului SIFT: a — în cazul primei versiuni; Ъ — în cazpî celei de a doua versiuni — redondanță elementelor la nivelul fiecărui subsistem; — izolarea completă din punctul de vedere al defectărilor între fiecare ent al unui subsistem, precum și între subsistemele distincte ale șiș- ului BIBLIO GRAFIE ANDERSON, T ; LEE, P A International Inc , London, AXDERSON, T ; BARRET, P A ; ANDERSON, T ; LEE, P A ; SHRISTAVA, S K , level Systems, IEEE Trans on Software Engineenng, SE- , p >• J Fault Tolerance Principie and Practice Prentice-nau HALLIWELL-MOULDING M R Ия ТіаТл, IEEE Trans on Software Engineenng, SE-U -, W P- AVIZIENIS, A ; GILLEY, G ; MATHUR, D , The STAR Computer : An Investigation of AVIZIENIS, A , Arithmetic ErrorCodes ; p Ш- in Digital System Design, IEEE Trans on Desimii Diversitv : Concepte and Etpe-AVIZIENIS, A ; KELLY, J„ Eault Tolerance by Desimi riments, Computer, , , , p • „ Tolerant Software IEEE Trans on AVlZlEmS A The Njvers^ Software Engineering, SE- , , ° ' P/, Corn buline c Front Conccpts Ю Design Di-AVIZIENIS A ; LAPRIE, JC-f* r- , versity, Proceedings of the IEEE, , , ’ I L q software Reliability h-valuation, BACIVAROF, ANGELICA; ^CIVAROF I-C- llabilit iu Electronics Proceedings of the -tli International Symposnu i RELECTRONIC, Budapcst, Hungary, щ^Аагеа fiabilitdtu joftware-wlia- BACIVAROF, ANGELICA: BACIVAROI' *~Ыоаге, Editura Tehnică, Bucureșt , O analiză critică, Automatică, Management, Caicu ar , p - — с, О EVALUAREA PERFORMANȚELOR DE FIABILITATE PENTRU SISTEMELE TOLERANTE LA DEFECTĂRI INTRODUCERE în general, evaluarea performanțelor de fiabilitate pentru un sistem constă în identificarea expresiei analitice sau a valorilor numerice ale indicatorilor de fiabilitate ai sistemului — de obicei, funcția de fiabilitate, R(t), sau funcția de repartiție a timpului de funcționare fără defectări, F(t), atunci cînd se cunosc indicatorii de fiabilitate ai elementelor sale componente în scopul evidențierii performanțelor de fiabilitate ale sistemelor tolerante la defectări pot fi folosiți atît indicatori generali de fiabilitate, cît și indicatori de fiabilitate specifici acestei categorii de sisteme Astfel, în analizele prezentate în continuare pentru sistemele hardware cu structură tolerantă la defectări se vor utiliza următorii indicatori de fiabilitate: — funcția de fiabilitate, R(t); — funcția de repartiție a timpului de funcționare, F(t); — media timpului de funcționare pînă la prima defectare я», (MTFF); — media timpului de funcționare între defectări, MTBF; — disponibilitatea sistemului, A(t), respectiv coeficientul de disponibilitate, A; — securitatea sistemului, &(t); —- credibilitatea sistemului, ; — factorul de acoperire a defectărilor ș a Pentru caracterizarea performanțelor de fiabilitate ale sistemelor software tolerante la defectări pot fi utilizați—între alții — ca indicatori de fiabilitate: — funcția de fiabilitate a software-ului, Rs(t}\ — rata erorilor de software, zs(t); — timpul mediu între erorile de software, TMIE; — disponibilitatea sistemului software, Л ( x- v onslrucția modelelor matematice pentru evaluarea indicatorilor de fiabilitate ai sistemelor se bazează pe noțiunea de defectară, înțeleasă ca ieșirea a cel puțin uneia dintre performanțele sistemului din limitele spe- t însă, nu întotdeauna se cificate Aceasta definire convențională n , cunoaștere a performantelor sistemului ci'n i a ?? Plc„suPune Perfectă fie situate acestea în vederea îndcnlinirii^cn «■п^?ПП ог ш car se pot explicita cu ajutorul următoarelor ecuații: $ = Pr(l U U U ), R = Pr(l), A = Pr(l U ); @ = Pr ( U U U U | ), iar ( - ) Pr(l U U UW U ) = S-au notat cu , , cele șase stări posibile ale sistemului Particularizhidu-se cele patru definiții prezentate aici în cazul sistemelor care nu au semnal de STOP (cu structura redondantă sau nu) rezultă că disponibilitatea este egală cu , iar securitatea, fiabilitatea misiunii și credibilitatea sînt egale între ele și egale cu fiabilitatea sistemului în sensul definiției date în Anexa ANALIZA PERFORMANȚELOR DE FIABILITATE ALE SISȚEMELOR TOLERANTE LA DEFECTĂRI ÎN ipoteza defectărilor de tip permanent CONSIDERAȚII ASUPRA PROBLEMELOR ANALIZEI FIABILITĂȚII SISTEMELOR TOLERANTE LA DEFECTĂRI ,Sistem le int olerante la defectări sînt sisteme cu model logic de fia-resniînzămr LT' a Са-Ге fieCrire c?,nP°nentă trebuie să funcționeze co- f \r,î ,tabils și/sau * * * aetfpf ii-z ‘i !;mentelor componente Pentru realizarea unor asa cum c q nm«onf * « apar constrîngeri de cost și performanțe, iz» a J n capitolul pot fi rezolvate utilizîndu-se astfel de sisteme ultrafiabile care — г ' sistemele cu structură redondantă ale sistemelo^cif struct т?н”і я С ?Р аг&г** performanțelor de fiabilitate redondaSe redondantft î» raport cu cele ale sistemelor ne- Fig Variația funcției de fiabilitate cu timpul misiunii: a — sistem neredondant; b — sistem cu structură redundantă logică majoritară din Indicatorii de fiabilitate — funcția de fiabilitate, ?(£), și media timpului de funcționare, m —, utili la compararea sistemelor neredondante între ele, nu conduc întotdeauna la rezultate clare pentru proiectant în această situație Pentru exemplificare, în figura se dau graficele funcțiilor de fiabilitate ale unui sistem neredondant (graficul a) și ale unui sistem cu structură redondantă logică majoritară (graficul b) Din analiza acestor reprezentări grafice se observă că media timpului de bună funcționare — măsurată ca arie a suprafeței cuprinse între graficul lui R(t) și axa Ot— nu poate fi utili- zată ca indicator de comparație a performanțelor de fiabilitate ale celor două sisteme (redondant și neredondant) Problema poate fi rezolvată [ ] [ ] folo-sindu-se pentru comparație probabilitățile de defectare, măsurate prin valorile funcțiilor de repartiție, sau cuantilele timpilor de bună funcționare, în capitolul s-au introdus indicatori specifici sistemelor redondante pentru compararea acestora Una dintre direcțiile principale de cercetare în domeniul evaluării performanțelor de fiabilitate ale sistemelor tolerante la defectări constă în analiza și evaluarea fiabilității structurilor redondante Analiza fiabilității unui sistem [ ] presupune mai multe etape care se interacționează reciproc, și anume: — determinarea, pornind de la modelul de funcționare real al siste- mului, a modelului său de fiabilitate care evidențiază condițiile ce conduc la buna funcționare a acestuia; w — stabilirea metodologiei de analiză a fiabilității adeci ata modelului P — evaluarea propriu-zisă a funcției de fiabilitate sau a altor indicatori de fiabilitate, ținîndu-se seama de datele privind fiabilitatea elementelor sale componente și de modelul de fiabilitate adoptat , Majoritatea lucrărilor de specialitate referitoare la evaluarea perior-mantelor de fiabilitate ale structurilor redondante au in vedere modale care pornesc de la faptul că mascarea defectelor are loc instantaneu, iar defectele copiilor individuale ale modulelor “Kîâîia dintre“^sistemului ,i cea a elementelor sale n ac«t “ iog да“ pe succes seama de gradul în care ternului analizat este limitată de ipoteza a defectărilor prin aplicarea redondanței este realizată cu în reprezentarea convențională modelul logic dc fiabilitate este figurat asemănător schemelor electrice avînd inii ați și ieșiri —- dc obicei o singură intrare și o singură ieșire Starea dc funcționai с a sistemului este caracterizată de existența a cel puțin unei cai prin caic semnalul ipotetic aplicat la intrare poate să ajungă la ieșire Daca exista mai multe asemenea căi sistemul arc o structură redondanță în general, schema care reprezintă modelul logic dc fiabilitate nu coincide cu schema conexiunilor clementelor sale în cazul sistemelor tolerante la defectări aplicarea modelelor de fiabilitate de tip static — cum sînt modelele logice — este limitată de ipoteza aflată la baza elaborării acestor modele, în conformitate cu care acțiunea de mascare a defectărilor prin aplicarea redondanței este realizată cu succes atît timp cît elementele de rezervă nu sînt epuizate Această presupunere nu poate fi justificată în sistemele care folosesc diferite forme și combinații ale redondanței de tip dinamic la nivel hardware sau forme ale redondanței părții logice a sistemului și ale redondanței de timp Această limitare este soluționată prin utilizarea unor modele de evaluare a fiabilității de tip dinamic, cum ar fi modelul lanțurilor Markov Modelele markoviene permit evidențierea evoluției în timp a unui sistem din punctul de vedere al fiabilității Cele bazate pe procesele Markov sînt generale, pornindu-se de la ele fiind posibilă descrierea sistemelor atît la nivel global, cît și la nivelul structurilor interne De menționat că în abordările practice trebuie avut în vedere faptul că analiza fiabilității bazată pe modelarea Markov este suficient de laborioasă și de aceea pentru unele cazuri care ar putea fi rezolvate mult mai simplu folosindu-se alte metode (de exemplu, pleeîndu-se direct de la modelul logic la fiabilitate) ea nu trebuie utilizată în mod abuziv Rezultă că modelele de fiabilitate statice sînt utile în cazul sistemelor cu redondanță protectivă de tip static, cînd modelele redondante sînt folosite pentru mascarea efectului defectelor materiale, ieșirile sistemului răminind neafectate atît timp cît protecția este efectivă Utilizarea modelelor statice pentru cazul structurilor de tip dinamic este echivalent cu a considera o probabilitate maximă a succesului acțiunilor de detecție a defectărilor și refacerii sistemului după orice defectare Din acest motiv, folosirea acestor modele pentru o structură redondanță de tip dinamic poate conduce la previziuni optimiste de fiabilitate în realitate Y^ecție imperfectă a defectărilor sau o reconfigurare imperfectă pot lăsa, utilizmdu-se această structură redondanță, cîteva rezerve nefolosite, astfel mcit nu șe mai ajunge la o fiabilitate foarte înaltă Efectul acestor imperfecțiuni poate fi molelat prin introducerea conceptului de probabilitate a reconfigurării cu succes a sistemului atunci cînd a avut loc un defect [ ] FUNCȚIA DE FIABILITATE PENTRU STRUCTURA REDUNDANTĂ LOGICĂ MAJORITARĂ Funcția de fiabilitate a unei structuri redundante logică majoritară pornindu-se de la modelul logic de fiabilitate (tig ) după cum urmează: Fig, , , Modelul logic de fiabilitate pentru sistemul cu structură redondantă logică majoritară k din n КС Fig Sistem de structură TMR cu elemente neidentice Se consideră structura formată din copii identice ale sistemului funcțional de bază, avînd funcția de fiabilitate de valoare R(t), iar voterul cu funcția de fiabilitate Rr(t) Pentru ca sistemul să fie în bunăstare de funcționare, trebuie să funcționeze corect cel puțin k unități funcționale si voterul V Probabilitatea RNMR(t) corespunzător căreia cel puțin k unități funcționale din cele n, precum și voterul să fie în stare de funcționare (restul unităților putînd fi defecte) este: Relația poate fi particularizată pentru cazul celei mai uzuale structuri redondяnte de tip logică majoritară, structura logică majoritară din (TMR), rezultînd: RtmM = - R(/) ) ( - ) Ecuațiile ( ) si ( ) sînt aplicabile atunci cînd modulele funcționale sînt identice Dacă însă modulele n deși îndeplinesc aceleași funcții, au scheme și - evident - fiabilități diferi* (de exemplu pentru a se evita erorile de proiectare în sistemele software sau chiar m cele hardware), calculul funcției de fiabilitate devine laborios ^StăHi aStui este necesar să se apeleze la alte metode ^e\nimerării ex- tip de structura redondanța, cum ai ti ue p haustive a stărilor sistemului [ ] i i i Qp consideră o structură redondantă de tip Exemplul be consiutr funcțiile de fia- irmată din unitățile funcționa e z ,, indicate posibili- RAD W Ы) (fțr »• gkde «alizare probabilitatea” de binZ fa^iona» a sisto nulm redondant este din , formată din uni bîlitate tățile de funcționare a acestor evenimente ționare a sistemului Xr» cri Evenimentul care asigură buna funcționaro Probabilitatea evenimentului Лл(/)Лв( Ло( лл( (і-лл( )М) ( -Лл(/))ЗДЛС(/) а unui modul funcțional și blocarea în sînt defecte două module funcționale De aceea, în scopul evaluării si com- Atunci cînd unitățile funcționale sînt circuite logice expresiile date funcției de fiabilitate de ecuațiile ( ) și ( ) conduc la rezultate pesimiste Această situație apare deoarece în asemenea sisteme există situații de compensare a erorilor, pe care modelarea funcției de fiabilitate utili-zîndu-se ecuațiile de mai sus nu le ia în considerare De exemplu, așa cum s-a evidențiat în § , pentru structura redondantă logică majoritară de tip din blocarea în „ " a unui modul funcțional și blocarea în „ " a altui modul funcțional nu vor conduce la defectarea schemei, deși sînt defecte două module funcționale De aceea, în scopul evaluării și comparării unor structuri redondante de acest tip, în cadrul aceluiași paragraf a fost dezvoltat — pe baza metodei tăieturilor minimale — un model denumit „modelul modurilor de defectare", care ține seama de aceste compen- în același sens, pomindu-se de la [ ], se poate dezvolta un model de evaluare a funcției de fiabilitate pentru structura redondantă logică majoritară de tip din , cu luarea în considerare a posibilității compensării unui număr de defecte în fiecare modul Astfel, se poate scrie probabilitatea evenimentului de a avea tn defecte într-un modul, n и sau я = r; , ш > n > r ( ) Fiecărui triplet i se asociază o probabilitate condiționată Pr ,JB,r definită astfel: f (sistemul funcționează corect dacă sînt m я respectiv r defecte); /s ini în caxuî modelului „clasic" de "«compensare a erorilor aceasU probabilitate * o pentru w > n > Г, n > ( , ( ) t'iibilitde Y*sistcmu\uTredĂn\~ sc Poate scrie expresia funcției de n umitdie a sistemului redondant, sistem care va funcționa si atunci Hn l і'ДьлІ Уг> ПіПКІУ oarecare de defecte în primul modul, un număr n n'r rn m !r ! (X ->■■•■■■■■> / c avînd semnificația probabilității detectării cu succes a unei defectări a sistemului și comutării unei rezerve •• « * —ea «Mi de ее» unde cr exprimă probabilitatea a r ^y^seTflă în stare de func- tem, - probabilitatea că modulul r de> rezen ă se * ționare în momentul cînd estel’sdtn Momentul conectării sale în sis-tatea că modulul r va realiza misiun tem pînă la momentul ■ FUNCȚIA DE FIABILITATE PENTRU UN N S I I M CU STRUCTURĂ REDONDANȚĂ PRIN CODARE în § a fost prezentată o astfel do structurii lezultalîl prin інч In i setului de stări ale unui automat dc la A la " - - prin tri'șlmc 'i iiuiiiiiiiihij de circuite aferente — , astfel incit fiecăreia din cele * alibi li va lovrnl un număr de *“* stări redondante din cele ” Dacii se dcfctl căzii un nnniiii de elemente, iar cele "~л stări nu vor fi afectate în totalllalr», voi i > ( ) în condițiile ipotezei (b) rezultă: Ptg Schema echivalentă, a unui auto mn - лп i i « mat cu stări redondante adică sistemul se va defecta atunci cînd so vor defecta mai mult de l unități llt, celelalte unități funcționînd corect în relațiile ( ) și ( ) indicii se referă la unitățile I{, identice din punctul do vedere al fiabilității Conslderindii-se ratele de defectare egale, este posibilă în primul rîiul - o analiză caii lativă a performanțelor de lin billtate ale structurii în general însă pentru că sînt do complexități diferite, unitățile ll( nu au rate dc defer* taro identice Do aceea, în vede rea unei analize dc fiid’ililid ' m ■ V л' - ж* Wrjr? • • ч;' 'inilor intrare іочіі I > „ i vedere în contlnuaiti, fmu* n ‘ц, ц ( цпЦцІн и iar « ■ XH —» (?X înlocuind X„ cu CX în ecuația ( ), se obține: I* SR (/) «=> £ C,\ ( —- unități funcționează/' (J U », unități din funcționează" U unități din funcționează" (J U - unitate jdin funcționează" IJ „nu funcționează nici o unitate" IJ U MULT П Ci П C U MULT П С, П C U MULT П Ст П C Pornind de la această expresie, se poate scrie: К Dintre stările care conduc la disponibilitatea sistemului se aleg acelea pentru care informația dată de sistem este corectă Se notează cu X evenimentul „ieșiri corecte Q se poate dispune de sistem"; acesta este dat de relația: p| („ unități funcționează" U „ unități din funcționează") U u MULT П Q П QPI („ unități funcționează,, (J „ unități din funcționează mai puțin unitatea defectă și celelalte funcționează* U funcționează unitățile și , unitățile și sînt defecte sau lunc-ționează unitățile și , unitățile și sînt defecte") U țj MULT П Ci П G П {>A unități funcționează" (J „ unități din funcționează mai puțin unitatea defectă și celelalte funcționează" IJ „funcționează unitățile și , unitățile și sînt defecte sau funcționează unitățile și , unitățile și sînt defecte ) IJ țj MULT П Gn G П („ unități funcționează" U „funcționează unitățile , și •/, unitatea este defectă sau funcționează unitățile Г, și , unitatea este defectă" U „funcționează unitățile și , unitățile și sînt defecte") • Dacă unitatea este defectă, Ct poate l&sa spre ieșire o valoare falsă: dacă unitatea este defectă, C lasă spre ieșire o valoare adevărată; dacă unitatea este defectă, atunci chul nu apare semnalul STOP, ieșirea este bună; dacă unitatea este defectă, idem Folosindu-se raționamentul antcrioi, se poate scrie iar Рг(лѴ) = Ă\ ULT Ă ) + + RmVLT ( ~ ^ ) ^C ftR" R ) “ + Rmvlt ( - R J Я , ( R= - R ) + ( ) ( ) III Sistem TMR autotestabil în figura se prezintă schema unui sistem TMR cu semnal STOP Acesta din urmă apare atunci cînd se defectează două din cele trei unități funcționale Se fac următoarele notații: R — funcțiile de fiabilitate ale unităților funcționale; R„ — funcția de fiabilitate a voterului^Rcl, Rc , Rc — — funcțiile de fiabilitate ale elementelor comparatoare; У — evenimentul „voterul este în stare de bună funcționare"; V — evenimentul „voterul este defect"; Cr, C , C — evenimentele „comparatoarele C ( C respectiv C sînt în stare bună de funcționare"; C ( C , C — evenimentul „comparatoarele Cp Ca respectiv C sînt defecte;" , , — unitățile , , sînt în stare bună de funcționare; , , — unitățile corespunzătoare sînt defecte Analiza funcționării schemei evidențiază evenimentele care conduc la ieșiri false sau corecte (tabelul ) a b с u Comentarii Starea sistemului ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire * falsă corectă corectă corectă falsă falsă falsă corectă corectă falsă falsa falsă corecta corecta falsă ieșire laisa * ieșire falsă ieșire ieșire * ieșire ieșire ieșire ieșire * ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire ieșire corecta corectă corecta falsă falsă falsă corectă corectă corectă falsă falsă falsă falsă corectă corectă corectă falsă falsă falsă falsă Comentarii Tabelul (сснііпиаіс) Starea sistemului Г P| Q P| C PC p ( unități din funcționează bine) F P Cj P C P C P (nu funcționează bine unități din ) — ieșire corectă — ieșire falsă Studiindu-se în același mod apariția — sau neapariția — semnalului STOP, se pot scrie relațiile pentru calculul funcțiilor securitate, fiabilitate, disponibilitate și credibilitate: Рг(У) = ( - ?, ) - R, RC R ) + A\(l - ?q) ( - ?(, ) ( - RC ), ( ) IV Sistem cu structură redondantă hibridă prezentaMnSS V a b е l n УЗ Comentarii STOP STOP n A Da n Da n )« STOPA >iA А \A Ь«А ‘A А ЗА STOPA РіП В П ІІ П i A A A STOPA AA DaA D A I> A A A A STOPA Da A Ds A D n D A а A ЗА STOPA D, A Dt A D A Dt A A A A " STOPA AA £> A DjA o, a Ta A за STOPA АП £>âA £> A D П I> n D n Di A in А ЗА STOPA Di A I> n D n ОдГШ А ЗА sc oprește cu și — se oprește cu și — se oprește cu și —* se oprește cu și — se oprește cu — se oprește cu — se oprește cu — se oprește cu — se oprește cu — se oprește — se oprește — stare nesigură Toate stările care au două elemente D defecte — oricare ar fi stările modulelor — sînt stări nesigure Exprimîndu-se probabilitatea reuniunii stărilor nesigure, se obține: — â = ( — ?STOp) ( — -Ksrh) + RsTOP[ Rd ^D (— -^£> ) “ ~ Rd )^D ^ RdÎ) " RD } ( Rd ^R ~ în care ?srh este funcția de fiabilitate a aceluiași sistem fără semnal STOP Calculul funcției de fiabilitate Analizîndu-se stările sistemului, se observă că pentru buna șa funcționare este obligatorie buna funcționare a voterului ca și a circuitelor care formează semnalul Si Ol • Stările posibile ale sistemului care conduc la buna sa uncționare sin evidențiate în tabelul S-a utilizat același mod de notare ca m analizele precedente - , reuniunii stărilor care asigură buna Exprmundu-se F?babd адипфеі de fiabilitate: funcționare a sistemului, se obține expresia у — c, Starea sistemului Comentarii v n STOP A Din^n ЛзА — module din trebuie să funcționeze pentru ca sistemul să funefio- neze FA STOPA AA AA А А A AJĂ П Q FA STOPA Dsn Ă A А A ЗА FA STOPA A A A A A A Ă a A а за fa STOPA A A А А А А ĂA A A AJ FA STOPA А А А А A A Ă A^A A A FA STOPA А А А А A A Ă A^A а A FA STOPA А А А А A A ĂAJA А ЗА FA STOPA А А А А AA ĂA~ A A ЗА FA stopa A A AA AA Ă A A A за fa stop а А А А А А А Ă А П WA fa stopa А А А А А А Ă A £ А A A fa stopa A A A A AA ĂA A A A F A stop A A A A A A A AA A A A FA STOPA А А А А А А А А A А ЗА v a stop O A A; A A Ă A A A țn a A F A STOP A A A A A Ă A A A A A A fa stopa A A AA ĂA А А A АДА FA stopa A A A A ĂA A A A A A^ FA stopa А А A A AA ĂA A A за FA STOPA AA A A ĂA А А A А ЗА FA stopa A A AA ĂA AA^A A за fa stopa A A AA A A A A ilWW FA stopa AA AA AA AA «А A за f A stop A A A'A A Ă A A’i A A A fa stopa A A A A Ă A A A A A A fa stopa A A A A Ă A A A i A A A' fa stopa A A ĂA A A A A A A A fa stopa Ă A AA A A A A £A A A F a stop a Ă А А А А А А A î A A A rn STOPA PjA £ n £> С) ) A A A A A — sc Oprește F A STOP A £ A ^ A D A A A А з A ~ se oprește Tabelul A (cvntinuatc) Starea sistemului Comentarii vn STOPQ DjQ Den n n ^nTn'ăn ЗП I П STOP O Bj n Ва Г) D П D Q Țq П Q г n STOP n Bj П Da n о, П Dt П Tn n n î Г n STOP n DjO Da n D n Dt n n Tn Tn F n STOP П B n D Q D Q Dt n П П flT Г n STOP n Dl П )a n D n Dt n П П ЗП~ alte stări — so oprește — so oprește — so oprește — se oprește — se oprește — so oprește — semnalele la ieșiri pot fi false (b) Structura redondantă hibridă cu două module în așteptare Calculul funcției de securitate Se procedează de o manieră analogă celor utilizate în cazul precedent: Rezultă: ' Ц Calculul funcției de fiabilitate Folosindu-se același procedeu ca în cazul •ecedent, se obține: z > ’ - RsRA = RsTOP Ry {R D -^ ) ■^'■ [-K + R U R)H~ R (l R) * : f - R ( - R) J + RDX RD RD RD ( -RD ) [R + R ( - R) + - R (l—R) + R ( —R) ] +Rpi RD RD ^ [^+ ^( R) ~ - R ( —R) + + R ( —R) ] -Rz>iRi> ( —Rb )Rz> R > [R + R ( —R)+ + R ( -R) + R (l-R) ] + ( -Rpi RD Rd Rd Rfl [ R + R ( - R) - ~ R ( — R) ” R ( —R) ]} • ( ) MODELAREA FUNCȚIEI DE FIABILITATE CU CONSIDERAREA DEFECTĂRILOR CVASITEMPORARE a x л „n /ІЛ ѴПІІ- un model de evaluare a probabili- ШІІ le Г ѵе“ s’mnate “X la ieșirile unui circuit logic, atunci cîndse iau in considerare defectările de tip cMsttee /emr* Datorită model ! do of™ " c” °,tâ « Sita rupJri'* s'пІіе ssa*si» MS™ *’““U , - - IPOTEZE ȘI NOTAȚII Aplicarea metodei se bazează pe următoarele ipoleee: • probabilitățile de defectare ale clementelor componente sini cunoscute ; • produsele de ordin superior lui doi, inclusiv ale probabilităților dc defectare ale elementelor componente se neglijează: • defectările componentelor sînt considerate evenimente indepen-dente; • evenimentul defectare este evidențiat în cele ce urmează prin inter mediul variabilei dk, definită astfel: f„l", dacă circuitul G>, este defect, CLj* \ -г t % \ % V „ ", dacă circuitul Gk funcționează corect; • evenimentul eroare la ieșirile Ek ale circuitului logic G* este repre zentat prin intermediul variabilei ek, definită cu relația: ", dacă ieșirea Ek este eronată; ", dacă ieșirea Ek nu este eronată Necesitatea diferențierii celor două evenimente apare datorită faptului că pentru oricare două circuite logice, G( și Gjt dintr-un sistem există relațiile : ( ) conform ipotezei enunțate, iar Pr {et П = ) poate fi diferită de zero, deoarece defectarea unei componente se propagă la ieșirile mai multor circuite (porți logice) G din sistem Referitor la propagarea erorilor se fac următoarele ipoteze; • propagarea erorii et la ieșirea circuitului G* este caracterizată de funcția logică de propagare a erorii/(l definită cu relația: • • ", cînd eroarea et se propagă la ieșirea ", cînd eroarea ct nu se propagă la ieșirea produsul boolean al tuturor funcțiilor de propagare a unei defec- ik - и Jiu JU ІЦ Jikj > poarta numele de funcție de cale și guvernează propagarea ororii e CALCULUL PROBABILITĂȚII SEMNALELOR DE IEȘIRE CORECTE ^continuare se vo,r indica etapele algoritmului de calcul al probabi- *-kwx** j * *KVci*’ v lupvav VLC какій кла Г*'"” a u e a avea semnale de ieșire corecte în prezența anumitor defect' in circuit ’ Etapa : Construirea grafului propugttrti erorilor, ICvrilIiimnlul s ieșire un astfel de graf Daca variabilele dc intrare ale cin nil ului sini llpdlr de erori, atunci nu va exista nici un nod al grafului de propagare a noi lat acestora Etapa a Il-cr Calculul funcțiilor de cale ІшрссІІікІ graful do propa gare a erorii se poate calcula funcția de cale, ce guvernează propaga rea defeo tarilor componentelor la ieșirile sistemului De exemplu, dacă se defectează poarta Gt (fig «), alunei flrrtuc componenta, pe calea de trecere de la Gt la G} va avea un seuniul eroare pft intrarea care face parte din calea dc trecere Cînd sistemului îl anta aplicat vectorul semnal de intrare X, efectul defectării d( во va propaga la lofirca componentei G} dacă și numai dacă se propagă la ieșirile Eik și/sau /ija dacă 'щ (A,) țl/sati „ " pentru cel puțin un X„ în care caz apare un F„ (X,) - ( Vil) în cazul structurii în evantai a ieșirilor unei porți, o defectare a uiu'i componente se propagă pe mai multe căi de circuit Altfel, în figura se arată cum o eroare la ieșirea Et se poate propaga la ieșirea E} pe, două căi; FO și F{} sînt funcțiile de cale corespunzătoare căilor clar că eroarea Y *(X ) © F} (X,), ( ) unde Ff (X,) reprezintă coloana j a matricei F evaluată pentru semnalele de intrare X Dispunînd de matricea F pentru fiecare X, și calculind fiecare element (X ), rezultă elementele (s, r) de pe linia s, coloana r a tabelului defectărilor ca avînd forma: l O, în alte cazuri Etapa a V-a\ Calculul probabilității semnalului răspuns co/ec/ Vectorul o = № , d — eve- Yr (Xf) poate fi considerat ca un eveniment în spațiul S unde d corespunde evenimentului „bună funcționare", iar d nimentului „componentă defectă" Cu această convenție Yj (X,) = Y (л,) pentru / = Dacă Yr = YJ (X,), cînd în circuit există unul sau mai multe defecte, atunci pentru mulțimeaț^} se scrie: Dacă la ieșire se obține un răspuns corect în prezența defectării porții atunci acesta aparq cu probabilitatea: Pr {¥" | X,} « Pr №) i Ș Рг Й»’ ( , ) unde dk € № Y^ (X,) = Y” (X,)}» Dar н , fonnînd un sistem complet de evenimente Cu aceste observații se poate scrie: ( ) în care d( â {d/|YJ (XJ ' (XJc Tinîndu-se seama de rezultatele anterioare, rezultă următoarele valori ale probabilității de a obține semnalele răspuns Yr in prezența semnalelor de intrare X,: — Z Pr (d(), unde d( e {(^|YJ(X,) / Ye (X,)}, i Pr (Yr IX,) dacă elementul (s, r) = ; • • ■ > ■ * X Pr (d}), dacă elementul (s, /) = d}; , dacă elementul ( , r) = ( ) Este deci posibil să se obțină valoarea funcției de fiabilitate a sistemului (circuit logic), avîndu-se în vedere tipurile de defectări cvasitemporare specifice acestora: x * Й ж ж * • • • Л * W * А а ш W - л fiind defectările care conduc la răspunsuri eronate cînd se aplică semna- Exem p lu Se consideră circuitul secvențial din figura л Se construiește graful de propagare a erorilor (fig &) Pe această bază se pot scrie imediat ecuațiile: ecuații care pot fi puse sub forma matriceală ( ): a) Fig Construirea grafului propagării erorii pentru un circuit: a circuitul; b — graful propagării erorilor i $e con&tiuieștc tabelul defectărilor abțin imediat pe baza ecuațiilor și x Se cunoaște Pr ( a ( - X ); == Xt - X - cj - CTa; [ ’ У I s=o = ІЬп d [ • J/cls s-> DETECȚIA DEFECTĂRILOR ȘI COMUTAREA REZERVELOR SÎNT CONSIDERATE PERFECTE DIAGRAMA TRANZIȚIILOR ÎNTRE STĂRI Modelul Sistemul neredondant Se consideră sistemul neredondant reprezentat m figura a Acest sistem este studiat spre a servi drept criteriu de comparație pentru analizele fiabilistice ulterioare ale structurilor tolerante la defectări Evident, sistemul neredondant considerat se defectează atunci cînd se defectează una dintre unitățile ,sale, Аг sau BT în figura se prezintă diagrama tranzițiilor între stările acestui sistem Pot fi evidențiate: — starea : sistemul este operant; — starea : unitatea At este defectă (sistemul este defect); — starea : unitatea este defectă (sistemul este defect) Modelul Sistem cu structura redondantă de comutație (sistem duplex) Structura acestui sistem este indicată în figura a, iar diagrama tranzițiilor posibile între stările sistemului considerat, în figura Pot fi evidențiate următoarele stări ale sistemului studiat: — starea : ambele sisteme sînt operante; — starea • A- (i = sau ) se defectează, unitatea defectă este re- parată imediat — sistemul este în stare de bună funcționare, fiind însă funcțional un singur calculator; — «tarea - R (i = sau ) se defectează, unitatea defectată se ' repară imediat - sistemul este în stare de funcționare, fiind funcțional numai un calculator; Unitatea B, Monitor Unitatea Aț Intrare Ieșire procesului b) AÎ filărilor corespunzătoare С,иВ» « , „„Iul- b- diagrama tranzili’i configurația sistemului, Comutator Intrare Ieșire b) Fig Configurația calculatoarelor tolerante la defectări analizate: a — sistemul duplex; b — sistemul dual — starea : A{ (i = sau ) se defectează, sistemul fiind în starea — sistemul se defectează; — starea : Bt (i — sau ) se defectează, sistemul fiind în starea — sistemul se defectează; Fig Diagrama tranziției între stări pr' ”‘ sistemul duplex ana u in starea ic in tianzițiile stărilor, în diagrama din inbolurile „ " și tt " evenimentele „uni- tespecliv „unitatea defecta așteaptă pentru M ode Ini Siș/cw cu structură redondantă generală (sistem dual) Schema sistcniului considerat este indicați în figura /, Așa cum s-a aratat In capitolul , ambele calculatoare funcționează on line, iar defcc-taiea unei unități *l( sau />',- este mascată instantaneu la ieșire Stările sistemului sint aceleași ca mai înainte, numai că probabilitățile de trecere dintr-o stare în alta pot diferi CALCULUL FUNCȚIEI DE DISPONIBILITATE ȘI AL MEDIEI ч TIMPULUI DE FUNCȚIONARE ÎNTRE Dacă toate stările sistemelor descrise anterior constituie puncte de regenerare este posibil să șe utilizeze modelarea convențională bazată pe procesele de reînnoire de tip Markov [ ] lotuși, deoarece pentru unele dintre modelele analizate se presupun repartiții arbitrare nle timpilor de reparare (diferite de cea uzuală — exponențială) intervin și stări care nu sînt puncte de regenerare Pentru a soluționa această problemă se va utiliza o modelare a proceselor de reînnoire bazate pe procesele Markov, modificată în conformitate cu [ ] Astfel, dacă sc consideră tranziția de la i la j, starea de pornire » fiind un punct de regenerare, se poate scrie probabilitatea tranziției într-o etapă, Qt (/) Dacă stările de pornire k și l nu sînt puncte de regenerare se introduce probabilitatea de tranziție în doi pași Q',^ (t)sau probabilitatea de tranziție în trei pași (№'> (/); starea i trebuie să fie un punct de regenerare Cele trei probabilități de tranziție se definesc cu următoarele relații: V să facă o tranziție în starea j într-un interval de timp mai mic sau egal cu /), • , ,)W (rt - Pr (ea după efectuarea unei țranztțn m starea probul '« U să focă o tranziție in starea } prin starea к intr-un int r-val de timp mai mic sau egal cu /)» de tranziție în “ S Ș U Й —Ы ș«br modificai | | pentru re- nunțale presupune ¥i W W ’™- tor probabilități; Aplicarea zolvarea problemelor ( ) Se obțin pr (s) ( ) s—> și se caută probabilitățile limită -t(i = , , , m), unde n( indică probabilitatea de a fi în starea i după un număr infinit de tranziții [ ] pentru lanțurile Markov construite: în саге x = (~p, Xp xm) este vectorul probabilităților limită, iar — matricea probabilităților de tranziție compusă din punctele de regenerare posibile, » = , , ,m, adică se neglijează punctele de neregenerare: unde poate fi obținut prin neglijarea punctelor de neregenerare; ( ) Se obțin mediile necondiționale р ((г = , , ,;«), care indică media timpului de rămînere a procesului în starea i [ ], neglijînd în continuare punctele de neregenerare; ( ) Se calculează media timpului de reîntoarcere din starea i în starea * cu relația: l( = V (* = , , ш); ( ) A= ( ) Se obțin mediile necondiționale de neregenerare, lt, (i = , , , luîndu-se în considerare și punctele de neregenerare; ( ) Se calculează probabilitățile limită utilizîndu-se media timpilor de reîntoarcere și mediile necondiționale; ( ) Coeficientul de disponibilitate, At (pentru modelul î), poate fi obținut prin trecerea în revistă a probabilităților limită pentru stările de operare ale sistemului; ( ) Se obține — pentru modelul i — care reprezintă numerele așteptate de defectări ale sistemului în unitatea de timp în starea sigură, folo-sindu-se media timpului de reîntoarcere și probabilitățile limită; ( ) Media timpului între defectări, Mt, se obține cu relația: M( ₽ Atl&( ( ; ) Modelul Sistemul neredondant Deoarece stările definite în § pentru acest sistem sînt puncte de regenerare, se vor utiliza procesele de reînnoire de tip Markov convenționale Avîndu-se în vedere repartițiile adoptate pentru timpii de buna lunc ționare și reparare se obțin probabilitățile tranzițiilor OfJ(t) se determină transformatele Laplace, care în cazul de față sînt: Pe baza rezultatelor anterioare rezultă: Л ~ P-o/Zoo = (Xj/Yi + X /y + )- , unde рц) este dat de: ( ) iar Z II» U — (*' = ); ( ) s ve ' ■ ' ) în continuare se calculează mediile timpilor de revenire: L = V (i e Rg ) ( - ) U«g Mediile necondiționale £ (i e A ) — cînd nu se mai neglijează punctele de neregenerare — se obțin din ecuațiile: i(s) ] 's-o = » Pornind de la rezultatele anterioare se calculează probabilitățile li- mită pentru stările de operare, astfel: De aici rezultă coeficientul dc disponibilitate: / = k’ Mai departe sc calculează numărul așteptat de defectări ale pe unitatea de timp în starea sigură: ( ) sistemului O Pornindu-se de la aceste rezultate, se obține în continuări -lIjțM corespunzător sistemului analizat: -L ( ) MTBF« « n sînt repartizați după o tei * * a • etic cc unuciizd sc vor ilustru cantitativ ль » luele mtreprmsc pentru cele trei module studiate Se considtîa c imn i " de f nă ceal C“ ' a,i' *"'™ »"i Мііе'л > ; ^czultatele analizei sînt sistematizate în graficele din figurile ■ Astfel, în figura este indicată dependența indisponibilității fiecărui sistem de media timpului de reparare——, corespunzătoare unității Bt (i = , ), în cazul în care timpii medii de funcționare pentru unitățile A,-, —, și -Bi -—, sînt și ore, respectiv și ore Indisponibilitatea este definită de relația — A{ (t = , , ) J, fiind coeficientul de disponibilitate pentru sistemul » Se constată ușor că cele două sisteme cu structura redondantă (curbele și ) au o disponibilitate mai ridicată decît sistemul neredondant (curba ) De asemenea se observă imediat că din punctul de vedere al disponibilității sistemul dual (a » ) prezintă performanțe inferioare sistemului duplex (cazul « = ) în figura , se prezintă dependența coeficientului de disponibilitate al sistemului — c ЭгІ»' : ; ? f > к К I W Д V k I - ( t H ‘ ' І’ kt V' * ’ ’ t v-'v*\ V г • • *'* * » • duplex, Л, de valoarea coeficientului a Se constată ușor că performanțele sistemului sînt cu atît mai bune, cu cît rata defectărilor elementelor o/Z /іяс este mai mică decît a elementelor on line (a este mai apropiat de ) Graficele din figura prezintă dependența MTBF, corespunzătoare fiecărui sistem, de valoarea mediei timpului de reparare pentru unitățile Л,-, —, în două cazuri: atunci cîndmediile timpilor de funcționare ~ și ' Ys лі — au valorile și ore, respectiv și ore Din aceste reprezentări grafice rezultă că cele două sisteme cu structură redondanță âu media timpului de funcționare între defectări mult mai mare decît cea a sistemului neredondant și că din nou sistemul duplex (л — ) este mai bun decît sistemul dual De asemenea se poate constata că pentru sistemul neredondant MTBF nu este dependent de timpul de reparare, pe cînd în ceea ce privește cele două sisteme cu structură redondanță MTBF este cu atît mai mare cu cît — este mai mic Ya Așadar sistemul duplex este mai performant din punctul de vedere al disponibilității și medici timpului între defectări Aceste performanțe sînt cu atît mai bune cu cît elementele în așteptare au o rată de defectare mai redusă (cînd a -> ), iar timpii de reparare a elementelor defecte sînt foarte mici ANALIZA PERFORMANȚELOR DE FIABILITATE LUÎNDU-SE ÎN ; CONSIDERARE IMPERFECȚIUNILE RESTABILIRII FUNCȚIONARII Analiza realistă a fiabilității sistemelor cu structură tolerantă M defectări trebuie să țină seama și de imperfecțiunile legate de detecția ujioi defectări, ca și de cele referitoare la restabilirea funcționării sistemului- la apariția unui defect [ ’] d sc restabili automat tinuăte ndepSae T° fUnC,(ionare performanțelor acestor sisteme din punctul de vedere Sî ranaritătii^eT care a defectărilor la ieșirile sistemului capacitățn de mas- I-eiilru analiza care urmează se acceptă existența unor defecte care nu pot fi detectate de unitățile monitor De exemplu pentru sistezi duplex, acestea pot ți defectări dc tip intermitent - cînd fracțiile deS \ariaza mtie și , oar nu în acord cu specificările de proiectare însă o astfel de defectare poate fi detectată într-un sistem dual de îndată ce ca s-a manifestat, dacă sînt testate ieșirile de la elementele ce funcționează în paralel Considerînd acest tip de defectare, în continuare se vorevalua coeficientul de disponibilitate și media timpului de funcționare între de- ' fectări pentru cele douA tipuri de sisteme tolerante la defectări, în vederea comparării lor din punct de vedere fiabilistic în acest scop se utilizează tot o modelare bazată pe procesele de restabilire Markov, dar se are în vedere și conceptul de acoperire a defectărilor/erorilor Față de ipotezele ( ) ( ) prezentate în § se introduc în plus următoarele ipoteze: ( ) Factorul de acoperire pentru modelul i este ct, (i = , , ); ( ) Atunci cînd unitatea At se defectează sau se restabilește, iar comutarea automată nu poate fi executată, timpul de comutare manuală are o valoare finită și este repartizat pentru modelul j după legea A ; (r), cu media /S; , j == , , în mod analog pentru unitățile Bit i = sau , se introduce funcția de repartiție Mj cu mediu /§, / = , , ; J ( ) Duratele de timp cît rămîn nedetectate defectările în unitățile și Bt din sistemul duplex sînt repartizate după o lege exponențială • de parametru și, respectiv corespunzători unităților Л,- Așadar, există o categorie de defecte ce nu pot fi detectate cu unitățile monitorului (de exemplu, defectele -tranzitorii care înseamnă valoare logică necorespunzătoare) în sistemul duplex, dar pot fi detectate în sistemul dual Se consideră că aceste defectări apar cu o repartiție exponențială de parametri și respectiv, r , corespunzători unităților A, (i = ■= , ), respectiv Bt Cu aceste considerente, sistemului dual considerat îi pot fi adăugate — față de stările prezentate în diagrama din figura — următoarele stări: — starea ": este detectat un defect tranzitoriu în unitatea A(; sistemul se restabilește automat; Fig Diagrama tranzițiilor între stări pentru Sistemul duplex în cazul modelării reconfigurărn imperfecte starea ”: este detectat un defect tranzitoriu , sistemul se restabilește automat • este detectat un defect permanent „sistemul se restabilește manual; • este detectat un defect tranzitoriu f sistemul se restabilește manual; este detectat un defect permanent în intermediul stării "; starea starea starea in in in unitatea unitatea unitatea prin intermediul stării "; sistemul se defectează; ‘ este detectat un defect permanent în unitatea după ce sistemul a trecut prin starea "; sistemul se defectează; : este detectat un defect permanent în unitatea At, după ce sistemul a trecut prin starea "; sistemul se defectează; ' : este detectat un defect permanent în unitatea Bir după ce sistemul a trecut prin starea "; sistemul se defectează Din această enumerare rezultă că stările i = {O, , , Г, ', ", Г", "} sînt puncte de regenerare într-o diagramă a tranzițiilor stărilor, iar stările i = { , , ', ', , , ', '} reprezintă puncte de neregenerare Diagrama tranzițiilor este indicată în figura starea starea starea ABAB ABAB Calculul coeficientului de disponibilitate și al MTBF pentru sistemul duplex Se consideră diagrama tranzițiilor între stări dată în figura Conform modelului enunțat se pot scrie probabilitățile tranzițiilor ABAB ABA ABAB •в* i dual în cazul modelării stări pentru sistemul «uai Fig Diagrama tranzițiilor “"ț imperfecte ABAB ABAB ABAB ABAB ABAB ABAB •«а-» jr J ' J ч » • Ж, • J * * ; care se calculează media timpului de funcționare între defectări: ( ) Calculul coeficientului de disponibilitate și a mediei timpului de funcționare între defectări pentru sistemul dual Procedîndu-se în mod similar ca în cazul modelului anterior se obține: (oi Qi'i o o (? o o o o o o o o o (? " (»>/ = Gs / Ys / > (f = , ); * * î [Лр// = /&ЗП (У = ) ) ( ) Pe baza valorilor nk și p ( — determinate prin rezolvarea ecuațiilor ( ), ( ) și, respectiv, ( ) — se calculează timpii medii de revenire, lt(: •"ii Ue asemenea, în funcție de rezultatele anterioare se (» e A ), fără a mai neglija punctele de neregenerare: Со c = Ho! ( ) obțin mediile »'o (Ш ( ) % Щ o)) > - ml ’-тая’ жезж ' -yb-“ ț ***^Mw*> ' "^ЧИИЙ- и-ал к ’kț * * * -se aceste probabilități pombihtate pentru sistemul analizat: »ел ( ) se determină coeficientul de dis~ Mai departe, se obține numărul așteptat de defectări ale sistemului: ( + І)" ( ) unde: ( ) Qi"{ + ir = Q^' (i=l, ) л » •*> - • r- •» ,* Cu aceste rezultate se obține media timpului de funcționare între defectări, M = A /^ ( ) Exemplul Se consideră că timpii de reparare au aceeași lege de repartiție, legea gamma cu parametrul de formă și media timpu-lui de repararea — , atunci cînd în sistem apar defectări de tip permanent: Yf l \ - I C / A \ v/ v , și o lege gamma cu parametrul de formă , media timpului de fiind — , cînd în sistem sînt detectate defectări tranzitoria Y^ ( } reparare iar Calculîndu-se coeficientul de disponibilitate în condițiile: = , ore, respectiv = oi e f = ore; orc, Ya L ~ = ore — =s —• =s > orc Ysi Ysa nccsta apare ca o funcție de coeficientul de acoperire o (fig ) , Se observă că disponibilitatea sistemului duplex este mai ridicată •decît cea a sistemului dual, în aceleași condiții de performanță pentru clementele componente, și cu cît valoarea parametrului / ^ este mai mică, cu atît coeficientul de disponibilitate este mai mare Determinîndu-se MTBF în condițiile: = c, — = ore, — = ore, — = ore, — = ore, X, X Yi Ys — = — = ore, — = — "= , ore și - = , ore (i = , G! G YS YS si j = , ), poate fi evidențiată dependența acestui indicator de fiabilitate de factorul de acoperire c (fig ) Pe baza acestor rezultate se poate aprecia că media timpului de funcționare între defectări, MTBF, a sistemului duplex are o valoarea mai mare decît a sistemului dual în figurile și se indică dependența lui A, respectiv MTBF, de factorul c> în ipoteza că acest factor ar fi același pentru ambele sisteme Fig Dependența coeficientului de indispoîu litate pentru sistemele plex (curbele , ' )șl (curbele , ') de fac o de acoperire, Fig Dependența MTBF pentru sistemele duplex (curba ) și dual (curba ) de factorul de acoperire, c De fapt, întrucît mecanismel acoperire nu Fig Dependența MTBF pentru siste-rhele banalizate de factorul de acoperire, c on line și respectiv off line — proce-e defectare în cazul sistemului dual de comutare/а unității defecte sînt diferite, factorul de acoperire nu este același pentru cele două sisteme, în mod real, este dificil pentru' sistemul duplex să execute o comutare automată cînd cele; două modul sează sarcini diferite, fără a îngloba în structura acestora programe speciale care să detecteze starea lor de aefec modulele funcționale execută sarcini bn line , parate Cînd oricare dintre aceste module șe defectează, sistemul își continuă funcționarea, separîndu-se numai modulul defett Deci sistemul dual are factorul de acoperire mai mare în figura se evidențiază dependența timpului mediu de funcționare între defectări, MTBF, pentru sistemul dual de factorul de acoperire c cînd acesta are valori mari,' și se indică de asemenea valoarea timpului mediu de funcționare între defectări pentru sistemul duplex, atunci cînd c = (o valoare realistă) Cu luarea în considerare a mecanismelor de comutare diferite se poate evidenția în acest mod că sistemul dual are MTBa' superioare referitoare dual Acum, în condițiile unei ana- coasiderare și a imperfecțiunilor comutării r i rp/ultit diferit» sistemul dual are o medic йшрц ці Li — dectt dupiex intre defectări comparativ cu : lize mai realiste •— cu luai ea m rezervelor — u d RoiiabU^ м ^^^ , J ; ььллуи -, - th fjernational Confetence on Rehabihty -/Ле JE/Ь'Pr “cd ,'Ț Miv , p- aO- ?o ARLAT, J ; LAPRIE, J C, computer Systems, м‘сгое зс тотеь r \i>R[E, J C ARLAT, J : BLAXQUAR , J P- LAI к j Systems • - - ’o rr,- G-'iirec, •— ■/ ani Miintamability, Peno-= L uie INDICATORI DE FIABILITATE A Indicatorii de fiabilitate sînt mărimi care estimează cantitativ fiabilitatea produselor* Datorită caracterului aleator al factorilor care influențează funcționarea produselor și procesele de apariție, dezvoltare și înlăturare a defectărilor, estimarea cantitativă a fiabilității implică utilizarea metodelor teoriei probabilităților' și ale statisticii matematice Se definesc indicatori generali de fiabilitate, care pot fi utilizați pentru toate categoriile de produse și indicatori de fiabilitate caracteristici produselor reparabile (cu reînnoire) în cazul sistemelor de telecomunicații, dc calcul, informaționale etc care conțin pe lîngă partea materială (de hardware) și o parte logică (de software) este utilă folosirea unor ^Wfca/on de fiabilitate specifici software-ului La alegerea indicatorilor de fiabilitate ai unui produs se va avea în vedere, în principal, caracterul produsului (reparabil sau nereparabil, material sau logic etc ), precum și importanța și caracterul misiunii pe care acesta o are de îndeplinit (produse de mare răspundere funcțională sau de uz curent, produse pentru utilizare de scurtă sau lungă durată, funcționare continuă sau intermitentă etc ) Simbolurile și definițiile matematice ale indicatorilor generali de fiabilitate sînt sistematizate în tabelul A l, iar relațiile dintre ei sînt prezentate în tabelul A Principalii indicatori de fiabilitate specifici produselor reparabile sînt definiți în tabelul A A , Exprimarea analitică a indicatorilor de fiabilitate ai produselor se bazează pe adoptarea unei anumite legi de repartiție a timpului ue funcționare fără defectare, în tabelul A sînt prezentate principalele legi teoretice de repartița ce pot fi utilizate pentru caracterizarea fiabilității componentelor și S S' temelor electronice și dc telecomunicații • ♦ în cele ce urmează termenul generic do produs desemnează orice componentă, sistem (bloc funcțional) sau sistem (echipament) supus observațiilor, ce poate fi сог м ore” f(t) — lim - Д/—> Probabilitatea ca un produs să funcționeze fără defectare în intervalul ( , Z), în condiții determinate: m Abaterea medie pătrat ică a timpului de funcționare Cuantila timpului de funcționare Limita raportului dintre probabilitatea de defectare în intervalul (t, t - Д ), condiționată de buna funcționare în intervalul ( , /) si mărimea intervalului Д/, cînd AZ -> lim kt Valoarea medie a timpului de funcționare: m Momentul centrat de ordinul al timpului de funcționare; D ~ C” (t - w)V( u Timpul în care un P ‘od«® funcționează cu o anumită probabilitate ore ore ore ore ore * Funcția dc fiabilitate în intervalul (/p f ) se definește prin relația: F(/o) F(/p / ) = - — W ♦* Rata medic de defectare în intervalul (tlt f ) se definește ca raportul dintre probabilitatea dc defectare în intervalul (fj, t )t condiționată de buna funcționare în intervalul ( » G)» Ș* de mărimea intervalului (t — fj): — v *** Media timpului de funcționare este momentul de ordinul al variabilei aleatoare timp de funcționare Ea reprezintă valoarea medie a timpului de funcționare pînă la defectare, în cazul produselor nereparabile (MTTF — ilfean Time То Failure, utilizind terminologia din literatura tehnică anglo-saxonă), sau pînă la prima defectare, în cazul produselor reparabile (MTFF — Mean Time То First Failure) Dacă repararea poate fi asimilată cu înlocuirea» reprezintă valoarea medie a timpului de funcționare între două defectări succesive (MTBF Mean Time Between Failures) Indicator Exprimat în funcție de indicatorul F(t) R(f) F(t} •л « /{«)du — R(t) -o /W dF(/) df dg(f) di - R(t) - F(t) f(u)du exp Z(O dF(/) - F(Z) ’ dtf dF(f) F( df m t o i c(u)dn df > OBSERVAȚIE Prezintă interes și generali de fiabilitate: următoarele relații de legătură între indicatorii ,(A I - —j — R(t) / /(« a И(/) »* ZC(î) + Д* Д ДІ Valoarea medio a numărului dc intrări în funcțiune în intervalul ( , t): \ Ifrip • Valoarea modic a numărului de defectări în intervalul ( , t): HM “ M(NU) Probabilitatea ca produsul să tie In star funcționare la momentul H • o Valoarea medio a timpului do reparare: ore Indicator Funcția de repartiție a timpului do reparare Hbnbul Densitatea dc pro- LJ(] babilitatc a tind | pului do reparare Media timpului de reparare (MTR) Numărul mediu de intrări în funcțiune în intervalul ( , /) Probabilitatea cu produsul să fie reparat înti un interval de timp de тАгііпм, г "r'M ‘ P(T,„ : hM « lim * Densitatea defectă rilor Limita raportului dintre probabilitatea uneia sau mai multor defectări în intervalu (t t + ДО și mărimea intervalului, cînd Disponibilitatea А З (continuare) а Ъ e u Indicator Simbol Defini pe Unitatea de măsuri A Coeficientul de disponibilitate Raportul dintre media timpului de funcționare și valoarea medic a unui ciclu de func-ționare-reparare: Л = —■ mrcp -F OBSERVAȚII: Simbolurile utilizate au următoarele semnificații: TrCp — durata de reparare a unui produs; * •• ■ •- * * pectiv prin următoarele relații: • «P» • ' eJ' * — -• • • % k ф • • * • A dT/ (f) h^ - d, '■ d^(f) df Formula pentru calculul disponibilității (nr crt ) este adevărată în cazul cînd produsul este nou la momentul t = Indi’ ' % ♦ Legea dc repartiție a timpului dc funcționare câtor exponențială | *• Weibuli о + Ф (-?)ао Observații log-normală In t — я: ze- ao Ф(л) = \ -exp — -LooV tz dzz (funcția Laplace) / ІИ t~~ ÎI^Q (parametru de scară) w — во (In/—«z A & mQ — In t >« + -І - (funcția Euler de (inversa funcției Laplace) ANGELICA BACIVAROF VASILE M CĂTUNEANU HIGH RELIABILITY ELECTRONIC STRUCTURI» FAULT TOLERANCE — Abstract — Fault tolerance is a main approach to ensuring a high reliability ot computing, traffic-control systems, nuclear plants and milițary appli— caricns This means the accurate performance of a set of specified opera-tions in the presence of failures, without any externai interference System reliability is generally attained by using structural redun-at ensures continuos system operation, while its availability may obtained by system testing in normal uninterrupted operation The book is i II ade up of five sections The first one presents the fault tolerance domain and its general con- The next section analyses the redundant structures that may be applied to hardware systems to protect them against failures The optimal Solutions conceming the implementat ion of different redundant structures are also investigated Some aspects regarding the use of error detection techniques in fault systems are discussed in the third section A special attention is paid to the aspects conceming the implementat ion of self-checking systems In the next section, the sophisticated methods for fault tolerance implementat ion, including those based on self-recovery and software approa* ches are analysed It is worth mentioning the model of optimal recovery in multipro-cessor networks, as well as the studies regarding recovery blocks, N-version and N-self-checking programming The last section of the book is concemed with the reliability evalua-tion of some fault tolerant structures, using adequate mathematical model* and specific reliability indices In order to efficiently solve the complex problems related to the study Ілйч a s^terîu« diferent mathematical methods based on the hav bee ’ V’ boolean algebra, graphs theory, Markov processes a-°- The great number of examples and casc studies presented in the book results in an adequate balance between the theoretical approach and the practicai applications The present work may be used as a text-book for students, practitio-ners and researchers of fault tolerance Firstly, it provides a starting point for fault tolerant system design Secondly, the principles may be applied in order to examine and develop existing systems, providing them with fault tolerance possibilities Prefață Cuvin/ inam/e Capitolul PRINCIPII GENERALE PRIVIND SISTEMELE TOLERANTE LA DEFECTĂRI Introducere Structura sistemului și implementarea toleranței la defectări Concepte de bază Modelarea conceptului de toleranță la defectări Sisteme cu defecte Toleranță la defectări și diagnozabilitate Strategii de implementare a toleranței la defectări Algoritmi de detecție și diagnosticare a defectărilor Algoritmi de reconfigurare a sistemului Algoritmi de mascare a defectărilor Perspective privind dezvoltarea sistemelor tolerante la defectări Bibliografie Capitolul STRUCTURI REDONDANTE PENTRU IMPLEMENTAREA TOLERANTEI LA DEFECTĂRI ÎN SISTEMELE HARDWARE Considerații asupra utilizării redondanței protectivc în sisteme Scheme de implementare a redondanței la nivel hardware Structuri redondante protcctive statice dc tip individual și global rezultate prin multiplicare, Structura redondanță logică majoritară Structuri redondante protcctive statice cu logică cuadruplă Structuri redondante protcctive statice cu logică prin cablare Structura redondanță prin codare Structuri redondante protcctive dinamice Structuri redondante hibride Structuri redondante pentru interconexiunile unui sistem Structura redondanță dinamică aplicată bus-urilor do date Aplicarea structurii redondante în cazul a l linii de informație ♦ Probleme de sincronizare în sistemele digitale cu structură redondanță Criterii de comparare a structurilor redondante Indici de îmbunătățire a fiabilității sistemelor cu structură redondanță Indici de cost și eficiență , Studii de caz privind evaluarea performanțelor unor sisteme cu structură redondanță Concluzii - - Iniplementarca unei structuri redo'ndmite la nivtd optimal \\ ‘ ‘ ‘ ‘ z o i btratcgu do implementare a redondanței , , ‘ °г чЬ”ІГС n,ivclu!ui °Ptim dc partiționare â unui sistem'în vederea aplicăm redondanței Concluzii Bibliografie Capitolul TEHNICI DE DETECȚIE A ERORILOR •• r Considerații asupra tehnicilor de detecție a erorilor în vederea implementării toleranței la defectări Introducere \ r Conceptul de testare a funcționării Particularități ale testării sistemelor în vederea implementării toleranței la defectări Metode de generare a secvențelor de test pentru diagnosticarea defectelor Definiții și notații Metode de generare a secvențelor de test pentru circuitele logice Generarea secvențelor de test prin metode deterministe Generarea secvențelor de test pe principii probabilistice Strategii de elaborare a secvențelor de test pentru sistemele mari Procedee de derulare a unui test Concluzii Sisteme digitale total autotestabile Definirea sistemelor autotestabile Analiza unor sisteme total autotestabile Sisteme total autotestabile cu structură redondantă separabilă Sisteme autotestabile cu structură redondantă neseparabilă Structura circuitelor de control Construcția circuitelor de control pentru codul cu bit de pari tate Construcția unui circuit de control pentru ccdul к din n Concluzii I Metode de asigurare'a unei testabilități facile ,• • • Bibliografie Capitolul ANALIZA UNOR TEHNICI DE IMPLEMENTARE A TOLERAN TEI LA DEFECTĂRI ' * • ’ • ' ' Considerații critice asupra tehnicilor de implementare a toleranței la defectăr Tehnici de reconfigurare a sistemelor la apariția defectărilor • • Particularități ale tehnicilor dc localizare a defectărilor în cazul unor sisteme tolerante la defectări ••••••••'**•••* Particularități ale tehnicilor de reparare automată a sistemului Model al reconfigurării în sistemele multiprocesor Introducere Ipoteze și definiții Modelul reconfigurării optimale în t pași izvbrnnhH la erori cu mijloace software Implementarea toleranței ia 'и x “ X d « ли» Blocul de restabilire , Programarea N-versiouală Programarea ^аи^ІСЗ‘^ do ^Hme a software-ului cu struc Analiza comparativă a tehnic tură tolerantă la erori • , Arhitectura unor sisteme tolerante la defectări Studii dc caz Sistemul STAR Sistemul CV MP Microcalculator cu structură TMR Sistemul COPRA Ю Sistemul FTMP Sistemul SIFT Bibliografie * SISTEMELE TOLERANTE LA DEFECTĂRI Introducere Indicatori de fiabilitate Considerații generale Indicatori de fiabilitate pentru sistemele autotestabile Analiza performanțelor de fiabilitate ale sistemelor tolerante la defectări în ipoteza defectărilor de tip permanent Considerații asupra problemelor analizei fiabilității sistemelor tolerante la defectări Funcția de fiabilitate pentru structura redondantă logică majoritară Funcția de fiabilitate pentru un sistem cu structură redondantă de tip logică cuadruplă Funcția de fiabilitate pentru un sistem cu structură redondantă de comutație Funcția de fiabilitate pentru un sistem cu structură redondantă prin codare Evaluarea performanțelor de fiabilitate pentru sistemele tolerante la defectări și autotestabile Modelarea funcției de fiabilitate cu considerarea defectărilor cvasitemporare Ipoteze și notații Calculul probabilității semnalelor de ieșire corecte Evaluarea performanțelor de fiabilitate pentru sistemele tolerante la defectări reparabile Studii de caz Ipoteze și notații Detecția defectărilor și comutarea rezervelor sînt considerate perfecte Diagrama tranzițiilor între stări Calculul funcției de disponibilitate și al mediei timpului de funcționare intre defectări Analiza performanțelor de fiabilitate luîndu-se în considerare imperfecțiunile restabilirii funcționării S Bibliografie Anexă INDICATORI DE FIABILITATE Abitract CONT i N s Forcword Chapter GENERAL PRINCIPLES CONCERNING FAULT TOLERANT SYSTEMS Introduction System structure and fault tolerance implementation Fundamental concepts Fault tolerance concept modelling Fault tolerance implementation policies Prospects conceming fault tolerant systems developmcnt References Chapter REDUNDANT STRUCTURES FOR FAULT TOLERANCE IMPLEMENTATION IN HARDWARE SYSTEMS Considerations regarding protective redundancy Redundancy implementation at hardware level Interconncction redundancy Synchronisalion problems in digital redundant systems Comparison criteria for redundant structures Optimal redundancy implementation References Chapter ERROR DETECTION TECHNIQUES Considerations conceming the use of error detection technioues for fault tolerance implementation • Generation methods of test scquences for failure diagnosis з’з' Totally self-checking digital systems j’ Easy testability ensurance methods References Chapter ANAI-YSIS OF SOME FAULT TOLERANCE TATION TECHNIQUES tical analysis • • ’ methods System fault f „ m„ltiprocessor net works • • ■ • Fault recovery model n tolerance Software implcmen^ti tolornnt systems Caso stuc ies The architecturo ol tat References Chapter RELIABILITY EVALUATION OF FAULT TOLERANT SYSTEMS Introduction Reliability indiccs for fault tolerant systenls Reliability modelling and evaluation of fault tolerant systeins considering permanent failures Reliability modelling and evaluation of fault tolerant eystems considering cuasitemporary failures Reliability evaluation of repairable fault tolerant systems Case studies Refer cnces - • Л ч * ♦ Apfendix Reliability indices neductor : maior dr In# AL, mihalcka Tehnoredactor : D ANDREI Hun da tipar ; , , Apărut , Coli cit tipar %, li Tiparul executat sub comanda nr ws la I P „Fllaret", ritr, Fabden drt chibrituri nr — » Buourt|itl Republica Socialiști România